当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149722

漏洞标题:58赶集内网漫游(修改58线上代码、获取赶集用户密码和cookie、控制服务器、SVN、内部系统)

相关厂商:58同城

漏洞作者: 鸟云厂商

提交时间:2015-10-27 08:49

修复时间:2015-12-12 11:32

公开时间:2015-12-12 11:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-28: 厂商已经确认,细节仅向厂商公开
2015-11-07: 细节向核心白帽子及相关领域专家公开
2015-11-17: 细节向普通白帽子公开
2015-11-27: 细节向实习白帽子公开
2015-12-12: 细节向公众公开

简要描述:

都这样了,啥时候来乌云众测一波吧!
58赶集内网漫游(修改58线上代码、获取赶集用户密码和cookie、控制服务器、SVN大量代码、内部系统)

详细说明:

在对一个系统进行检测的时候得到一枚弱口令
http://wenti.ganji.com/feedback_v2/LogIn
赶集网问题反馈系统
验证码没有失效机制或设置不合理(前端刷新)导致可以爆破

mask 区域
*****ux*****
*****r1*****


详细看了看,发现这个接口和赶集的邮件系统以及OA是同一个账号体系。
所以上述系统也能爆破账号
#58-1 设置动态令牌进入内网
58和赶集已经合并,我们先用这个账号去58oa登录。

屏幕快照 2015-10-27 上午4.20.17.png


用密码登录提示错误,由返回的信息我们可以知道。这里需要58盾,58内部动态口令APP
58盾的逻辑我没想明白,只要有账号密码就能绑定(PC和Mobile都是)
绑定之后就用动态密码登录

WeChat_1445891089.jpeg


登录之后就是58的各大系统了
#58-2
unionold.58.com

屏幕快照 2015-10-27 上午4.33.00.png


58同城网总后台
这个系统没有验证码
也存在一批弱口令用户

mask 区域
*****g	111*****
***** 123*****
***** 12*****
*****123*****
***** 123*****
*****g 12*****
*****i 12*****
*****345*****
*****123*****
***** 12*****
*****an 12*****
*****2w3e4*****
*****1111*****
***** qwe*****
*****1 qw*****
*****123*****
***** 12*****
***** 12*****
*****1234*****
***** 12*****
*****1234*****
*****hao *****


挑了个高权限账号登录
以下是功能列表

屏幕快照 2015-10-27 上午4.58.51.png


58帮助中心全页面管理(可插恶意代码)


可修改网页,可插入偷取cookie、钓鱼、恶意跳转代码,一小时左右会将修改同步到线上

019AFC7E-B068-44C7-84BA-3AA08C8C3F4C.png


下面是可修改的线上证明

AEBBFFE7-D985-4CD3-A170-F111D93EE83A.png


修改58官方短信模板


屏幕快照 2015-10-27 上午4.49.33.png


屏幕快照 2015-10-27 上午4.50.48.png


管理58全国代理商


屏幕快照 2015-10-27 上午4.53.18.png


58主站页面模板管理


屏幕快照 2015-10-27 上午4.55.15.png


58抽奖管理、包含QB卡和密码、中奖概率设置、中奖信息


屏幕快照 2015-10-27 上午5.00.12.png


#GJ-1 赶集VPN系统
我就说怎么进不去后台
原来是VPN
https://sslvpn.ganji.com
是Junos的,用zhouxia登录,和之前的zhouxia04不一样,但是是同一个账户
成功登录,有几个系统列表。但是Junos可没有这么简单

屏幕快照 2015-10-27 上午6.04.53.png


#GJ-2 赶集内网首页

屏幕快照 2015-10-27 上午6.07.08.png


#GJ-3 Hadoop集群监控

屏幕快照 2015-10-27 上午6.09.35.png


#GJ-4 问题处理系统

屏幕快照 2015-10-27 上午6.13.59.png


#GJ-5 赶集wiki,各种密码、项目

屏幕快照 2015-10-27 上午6.18.14.png


#GJ-6 运维全网监控平台

屏幕快照 2015-10-27 上午6.19.51.png


#GJ-7 重点,赶集猫眼平台
猫眼平台是ganji日志和性能监控系统
当中可以看到实时的报错
而这些报错,导致我可以拿到用户密码和cookie
如下,用户的密码

7D2FE994-C66F-4C0D-A8B2-DD562D016754.png


登录证明

B9FFD553-4DAD-4B32-A524-A21DA043206D.png


根据条件搜索错误内容包含“uname=”的信息
再得到一大批cookie和密码

9A52D33B-8D40-4700-9CC4-792565ECCC34.png


8254D277-C082-455A-A3E0-642091541A56.png


屏幕快照 2015-10-27 上午6.40.44.png


7797A647-9A23-4ACE-81E7-E7855CBDB317.png


屏幕快照 2015-10-27 上午6.47.39.png


屏幕快照 2015-10-27 上午6.49.15.png


总之,大量用户登录信息

屏幕快照 2015-10-27 上午6.50.54.png


#GJ-8 大量PHP请求信息,用户操作请求都在这里

屏幕快照 2015-10-27 上午6.56.31.png


{"HTTP_REQUESTURI": "/fang5/1731728134x.htm",
"REQUEST_TIME": 1445900086,
"HTTP_COOKIE": "GANJISESSID=ccaac82da01f1f4eb3e9d8a169804b4b;citydomain=luoyang;",
"REDIRECT_STATUS": "200",
"SERVER_SOFTWARE": "nginx",
"SCRIPT_NAME": "/post_detail.php",
"REQUEST_METHOD": "GET",
"USER": "www",
"SERVER_PROTOCOL": "HTTP/1.0",
"QUERY_STRING": "durl=fang5&puid=1731728134",
"HOME": "/home/www",
"gj_urlcat": "fang5",
"HTTP_GJ_CLIENT_IP": "61.135.189.110",
"CONTENT_LENGTH": "",
"HTTP_PORT": "80",
"HTTP_CONNECTION": "close",
"PHP_SELF": "/post_detail.php",
"SERVER_NAME": "*.ganji.com",
"REMOTE_PORT": "17850",
"SERVER_PORT": "1991",
"gj_urltype": "detail",
"SERVER_ADDR": "10.1.2.45",
"DOCUMENT_ROOT": "/server/www/ganji/ganji_online/fang/fangpc/webroot",
"HTTP_NNCOECTION": "close",
"GJ_REQUEST_ID": "11db4d93-da1f-4b7b-96c4-1c660252827a",


#GJ-9 可以重启赶集大量业务服务器
抓个包,设置定时10分钟一次重放请求,赶集今天肯定访问不了

屏幕快照 2015-10-27 上午7.00.03.png


屏幕快照 2015-10-27 上午7.01.23.png


#GJ-10 开关分布式发布订阅消息系统

屏幕快照 2015-10-27 上午7.03.43.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-10-28 11:31

厂商回复:

弱口令引发的惨案,洞主没有陪基友和媳妇,渗透了半夜,辛苦了,坐等礼品吧!

最新状态:

暂无