当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0119325

漏洞标题:银客网绕过加速乐绕过软waf注入获得所有用户密码

相关厂商:yinker.com

漏洞作者: s0mun5

提交时间:2015-06-09 18:47

修复时间:2015-07-26 18:12

公开时间:2015-07-26 18:12

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-09: 细节已通知厂商并且等待厂商处理中
2015-06-11: 厂商已经确认,细节仅向厂商公开
2015-06-21: 细节向核心白帽子及相关领域专家公开
2015-07-01: 细节向普通白帽子公开
2015-07-11: 细节向实习白帽子公开
2015-07-26: 细节向公众公开

简要描述:

银客网绕过加速乐绕过软waf注入获得所有用户密码

详细说明:

首先找到一个子域名 http://bbs.yinker.com
实际上这套系统存在注入漏洞

Snip20150609_34.png


然而不巧的是 这个站使用了加速乐的服务

Snip20150609_35.png


第一步绕过这个加速乐
那么就找到真实ip 怎么找 ?用百度

Snip20150609_36.png


这个缓存为1月份的 还没有使用加速乐 看到了真实的ip

Snip20150609_37.png


ok 绑定host 加速乐就绕过了
101.251.206.198 bbs.yinker.com

漏洞证明:

第二步 发现软waf过滤了 * concat 都关键词
union注入不可用 bool太慢 time太慢
sqlmap总会触发规则
使用一个奇怪的报错语句成功

Snip20150609_38.png


分析这套系统的代码可以知道 密码做了多次加密 并存用户名 salt 都使用在了加密中 无法简单的进行解密
但是经过大量尝试后发现 用户在主站注册的时候,密码会直接同步到这个站的数据库中,并且不存在salt,为主站密码的直接md5。注意 是 实时同步 只要注册马上同步过来
那么使用下面的猥琐欲局,就拿到了所有用户的一次md5密码

http://bbs.yinker.com/?/topic/ajax/question_list/type-best&topic_id=1) and (select!x-~0.FROM(select+(select user_name from aws_users where salt is NULL limit 0,1)x)f)--+


只要不存在salt的全部为主站同步过来的用户

Snip20150609_39.png


用户35w+
我们也可以用一个猥琐的方式快速获得大量存在弱密码的用户
比如密码为 yinker.com 的md5是 f9c6198fac090e1eadc2dd7e66a840f4
则语句为

http://bbs.yinker.com/?/topic/ajax/question_list/type-best&topic_id=1) and (select!x-~0.FROM(select+(select user_name from aws_users where salt is NULL and password='f9c6198fac090e1eadc2dd7e66a840f4' limit 0,1)x)f)--+


Snip20150609_41.png


然后我们可以成功登陆这个用户

Snip20150609_43.png


所有用户可能受到威胁

修复方案:

进行更为严密过滤 更换真实ip

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2015-06-11 18:10

厂商回复:

感谢提供的漏洞信息,我们会尽快处理。

最新状态:

暂无