当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042086

漏洞标题:敏感信息泄露系列#6 服务端默认配置导致海量用户信息泄露 (目测酷狗有3.6亿用户)

相关厂商:酷狗

漏洞作者: 猪猪侠

提交时间:2013-11-05 20:23

修复时间:2013-12-20 20:23

公开时间:2013-12-20 20:23

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-05: 细节已通知厂商并且等待厂商处理中
2013-11-06: 厂商已经确认,细节仅向厂商公开
2013-11-16: 细节向核心白帽子及相关领域专家公开
2013-11-26: 细节向普通白帽子公开
2013-12-06: 细节向实习白帽子公开
2013-12-20: 细节向公众公开

简要描述:

多数应用程序、中间件、服务端程序在部署前,未针对安全进行严格的基线配置定义和部署,将为攻击者实施进一步攻击带来便利。常见风险:flash默认配置,Access数据库默认地址,WebDav配置错误,Rsync错误配置,应用服务器、Web服务器目录目录遍历、数据库服务器自带管理功能默认后台和管理口令。
本漏洞报告涉及内容:
通过互联网扫描,发现酷狗用户数据库备份文件可直接通过互联网公开下载,从而造成海量用户信息泄露!

详细说明:

#1 概述
由于酷狗某台服务器IIS配置错误,导致任意HTTP请求均可列出服务器上的WEB目录,致使骇客可下载到任意数据或文件,骇客可以通过收集或挖掘这些保护不足的数据,利用这些信息对酷狗信息系统实施进一步的攻击。
#2 问题服务器
http://120.31.133.202/
http://61.142.208.206:8081/
#3 漏洞描述(配置错误导致的目录遍历)

kugoo_default_list_1.jpg


120.31.133.202 - /226/
[转到父目录]
              2013年7月8日    18:36           18 change.cmd
             2013年7月17日    19:21   8793860608 KuGooUserInfo_35_backup_201307171920.tar


kugoo_default_list_2.jpg


61.142.208.206 - /
             2011年2月22日    11:12         4787 FTP20110216.PY
            2013年10月10日     2:00    110609920 KuGooCounterlogs_backup_201310100200.bak
            2013年10月14日     2:00   5798151680 KuGooCounterlogs_backup_201310140200.bak
            2013年10月17日     2:00     87541248 KuGooCounterlogs_backup_201310170200.bak
            2013年10月23日    17:15   5825070592 KuGooCounterlogs_backup_201310231714.bak
            2013年10月23日    19:47      3446272 KuGooCounterlogs_backup_201310231947.trn
            2013年10月24日     2:00     43619840 KuGooCounterlogs_backup_201310240200.bak
            2013年10月28日     2:00   5847292416 KuGooCounterlogs_backup_201310280200.bak
            2013年10月31日     2:00     35018240 KuGooCounterlogs_backup_201310310200.bak
            2013年10月10日     2:00     11631104 KugooMusicLib_backup_201310100200.bak
            2013年10月11日    22:49  10449156608 KugooMusicLib_backup_201310112248.bak
            2013年10月12日     0:13        94720 KugooMusicLib_backup_201310120012.trn


漏洞证明:

#4 通过HTTP请求,即可下载服务器上的文件至本地
{为了安全测试,我下载了这个文件到本地,测试完毕后已经删除!}
http://120.31.133.202/226/xxxxx.tar
打开的时候提示错误,表明这并不是一个tar的压缩文件

kugoo_file_edit.jpg


通过十六进制编辑,结合其他遍历出来的文件名,我们发现这完完全全是一个SQL Server数据库备份文件。
#5 还原数据KuGooUserInfo表

kugoo_database_restore.jpg


#6 信息挖掘
通过还原信息,得出默认的数据库名为:KuGooUserInfo_35,统计了数据表条数记录,为1000万条。
说明酷狗针对用户信息做了分表处理,_35 代表第35个表,35 * 1000万,刚好3.5亿!

kugoo_count.jpg


继续分析,泄露的数据跨度为2个半月,大致推算出3个月增长1000万用户,所以得出(目测酷狗有3.6亿用户)的结论!

select top 10 * from tbl_UserMainInfo order by UM_UserID DESC
UM_RegTime = 2013-07-08
select top 10 * from tbl_UserMainInfo order by UM_UserID ASC
UM_RegTime = 2013-05-13


# 数据泄露的大致内容,有用户名、密码、邮箱、安全提问回答信息、个人用户地址等等

kugoo_userinfotop100.jpg

修复方案:

#1 网络边界需要认真对待。
#2 杜绝为了方便而造成的不必要的安全风险或信息泄露。
#3 安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-11-06 10:04

厂商回复:

非常感谢您的发现,已经将有问题的站点关闭!

最新状态:

暂无