当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149975

漏洞标题:OneAPM源码泄露及登录接口可撞库

相关厂商:oneapm.com

漏洞作者: 0x0d

提交时间:2015-10-28 10:05

修复时间:2015-12-14 11:50

公开时间:2015-12-14 11:50

漏洞类型:账户体系控制不严

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-28: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 细节向公众公开

简要描述:

在v2ex上看到OneAPM的广告,既然号称中国的NewRelic安全应该不错吧。

详细说明:

在GitHub上搜 oneapm password 有不少记录,找到个有趣的账户:
https://github.com/manageyunying

QQ20151027-7@2x.png


里面有生产数据和运营等系统的源码,还在更新中。
随后收集了一大堆密码准备进内网瞧瞧,结果发现大部分都是阿里云的RDS,根本连不上:

FTP
username="oneapm"
password="d0I63*6M5NEI"
address="123.57.22.56"
jdbcUrl=jdbc:mysql://127.0.0.1/manage?useUnicode=true&amp
user=manage
password=s23fsdl9dsl@s&
jdbc.url=jdbc:mysql://10.128.7.247:3306/mobileprivatetrace?useUnicode=true&amp
jdbc.username=root
jdbc.password=oneapm
jdbc.url= jdbc\:mysql\://10.128.14.157\:3306/test
jdbc.username=admin
jdbc.password=admin
jdbcUrl=jdbc:mysql://100.98.70.86:3306/managerdb
jdbcUrl=jdbc:mysql://rds1p2w2yitw263r3ygu.mysql.rds.aliyuncs.com/mobilebasic
jdbcUrl=jdbc:mysql://rds54mgaqv8osck2y467.mysql.rds.aliyuncs.com/browserxhrdata
jdbcUrl=jdbc:mysql://rdsbp0m36ou1p84t8349.mysql.rds.aliyuncs.com/tpmsaas
jdbcUrl=jdbc:mysql://rds858w9g04b5598k070.mysql.rds.aliyuncs.com/mobileprivatedata
jdbcUrl=jdbc:mysql://rds3em7yjj9rm36bfr1u.mysql.rds.aliyuncs.com/analytics
jdbcUrl=jdbc:mysql://rds84584weefk677y690.mysql.rds.aliyuncs.com/usercenter
jdbcUrl=jdbc:mysql://10.251.126.18/tpmsaas
jdbcUrl=jdbc:mysql://10.104.15.224/tpmsaas
user=manage_saas
password=3acr89Mc0bc2a
jdbc:mysql://db-server:3306/ymy_test?user=zhaohaijun&password=676892
String jdbcurl = "jdbc:hive2://10.128.17.21:10000";
String username = "hadoop";
String password = "";
<?xml version="1.0" encoding="UTF-8" ?>
<xml-body>
	<!--静态资源地址 -->
	<!-- <staticPath>http://manage.oneapm.com/</staticPath> -->
	<staticPath>http://manage.oneapm.com/</staticPath>
	<!--项目地址 -->
	<!-- <basePath>http://manage.oneapm.com/</basePath> -->
	 <basePath>http://manage.oneapm.com/</basePath> 
	<fileSystem>/oneapm/filesystem/</fileSystem>
	<!--工单地址 -->
	<crmAddress>https://oneapm.kf5.com/</crmAddress>
	<!--mongodb参数 -->
	<mongodb>
		<mongodata>
			<!-- <serverNode>10.128.8.80</serverNode>  -->
			<serverNode>manager.mgo.010251193010.ali.bj</serverNode>
			<!-- <serverNode>manager.mgo.010251193010.ali.bj</serverNode> -->
			<serverPort>27017</serverPort>
			<autoConnectRetry>true</autoConnectRetry>
			<connectionsPerHost>300</connectionsPerHost>
			<maxWaitTime>50000</maxWaitTime>
			<defauledb>saas</defauledb>
		</mongodata>
	</mongodb>
	<redis>
		<manage>
			<serverNode>31b0ed9225774881.m.cnbja.kvstore.aliyuncs.com</serverNode>
			<poolSize>10</poolSize>
			<serverPort>6379</serverPort>
			<password>31b0ed9225774881:HCmqeD1jTTAm</password>
		</manage>
	</redis>
	<mysql>
		<manage>
			<driver>com.mysql.jdbc.Driver</driver>
			<url>jdbc:mysql://100.98.70.86:3306/managerdb</url>
			<username>manage_saas</username>
			<password>3acr89Mc0bc2a:HCmqeD1jTTAm</password> 
			<!-- <driver>com.mysql.jdbc.Driver</driver>
			<url>jdbc:mysql://119.29.28.190:3306/webhook</url>
			<username>root</username>
			<password>qinh_webhook123</password> -->
		</manage>
	</mysql>
</xml-body>


不过找到一个密码为 123456 的用户登录成功:

QQ20151027-2@2x.png


该用户可以管理 oneapm 的 club:

QQ20151027-3@2x.png


在后台收集了一些员工邮箱准备爆破。发现登录接口没有验证码,虽然 post 的密码经过加密了,但是……

QQ20151027-1@2x.png


把 encode 改成 false 就能绕过。
爆破成功了几个账户:

QQ20151027-5@2x.png


工单系统:

QQ20151027-6@2x.png

漏洞证明:

QQ20151027-5@2x.png

修复方案:

完善员工安全意识

版权声明:转载请注明来源 0x0d@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-30 11:49

厂商回复:

谢谢0x0d 谢谢乌云,我们已经在处理中,非常感谢

最新状态:

暂无