漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-053386
漏洞标题:XY苹果助手暴力破解+爆路径+弱口令+sql注入
相关厂商:xyzs.com
漏洞作者: 浩天
提交时间:2014-03-13 16:12
修复时间:2014-04-27 16:12
公开时间:2014-04-27 16:12
漏洞类型:后台弱口令
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-13: 厂商已经确认,细节仅向厂商公开
2014-03-23: 细节向核心白帽子及相关领域专家公开
2014-04-02: 细节向普通白帽子公开
2014-04-12: 细节向实习白帽子公开
2014-04-27: 细节向公众公开
简要描述:
想找个清理手机缓存的软件,就遇到了它,挺好用的
详细说明:
1.下载了下这个软件清理手机垃圾,随手捡了个后台
网站:XY苹果助手
地址:http://xyzs.com/
后台:http://admin.xyzs.com/
2、后台登录毫无限制,就暴力破解admin账号,看看有没有弱口令,结果无功而返
3、回到首页看到一个邮箱,天助我也
4、liping,弱口令:123456,还是个领导
下面这两个也是弱口令的:zhangy,tongzesheng 密码:123456
还应该有很多账号弱口令,呵呵
5、可以干很多事,上传、发表文章、数据统计啥的也都有
漏洞证明:
6、暴力破解的时候不小心爆出路径了,请求太大,程序报错了
7、存在sql注入吖,但是只是测试确定存在,没有读库获取用户表啥的,啥也没干
http://admin.xyzs.com/stat/getDayStat?channelid=100011%20and%201=1
数据正常返回
http://admin.xyzs.com/stat/getDayStat?channelid=100011%20and%201=2
数据返回异常,确定是整型sql注入点
8、线上运行的网站,就没干啥了,危害如下
a、sql暴库读用户表,找权限更大的账号,或者用户表泄露
b、不知道是否有账号可以修改应用的app包,这个挺严重的哦
c、mysql数据库吧,而且知道网站绝对路径,没开gpc,是不是可以拿shell
修复方案:
不要抄水表,啥也没干
赶着下班回家!!!
版权声明:转载请注明来源 浩天@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-03-13 17:14
厂商回复:
谢谢!已修补!
最新状态:
暂无