小恩爱弱口令可编辑/查看用户和SQL注入

编号200559
Urlhttp://www.wooyun.org/bug.php?action=view&id=200559
漏洞状态厂商已经确认
漏洞标题小恩爱弱口令可编辑/查看用户和SQL注入
漏洞类型后台弱口令
厂商小恩爱
白帽子Noxxx
提交日期2016-04-25 20:07:00
公开日期2016-06-10 09:40:00
修复时间(not set)
确认时间2016-04-26 00:00:00
Confirm Spend1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank20
漏洞简介
弱口令
漏洞细节

首先查看了一下小恩爱的Whois,

QQ截图20160425191744.jpg


有一个.net的域名,然后跑一下子域名发现挺多后台应用。
authqas.xiaoenai.net
monitor1314.xiaoenai.net
admin.xiaoenai.net
ci.xiaoenai.net
games.xiaoenai.net
smtp.xiaoenai.net
package.xiaoenai.net
op.xiaoenai.net
admin.xiaoenai.net
apollo.xiaoenai.net
conf.xiaoenai.net
wall.xiaoenai.net
sell.xiaoenai.net
streetadm.xiaoenai.net
gitlab.xiaoenai.net
里面许多都没验证码和登陆次数,所以可以暴力破解密码。
跑了一下发现存在弱口令。

wangbin 123456
fangding 123456


QQ截图20160425192528.jpg


CEO的账号,可编辑与查看邮箱与手机,这样修改就可以把任意恩爱号占为己有...
反馈与社区:

QQ截图20160425192707.jpg


可添加修改商品与专题查看所有订单(大概有几十万的订单),同时存在sql注入问题。

QQ截图20160425193250.jpg


QQ截图20160425193801.jpg


基本随便点一个页面就存在注入问题。

QQ截图20160425193657.jpg


https://sell.xiaoenai.net/order/list/search_all?name=A&phone=&id=&product_id=
(xiao 123456)
https://streetadm.xiaoenai.net/productions/list/search_all?id=10&seller_id=&title=&seller_name=&scene=
这两个同理 都差不多。随便一个参数存在注入。

POC

见详细说明

修复方案

增加验证码,或者采用更安全的方式登陆。有些后台不应该暴露在外网。

状态信息 2016-04-25: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开
厂商回复非常感谢您对小恩爱安全的关注。
回应信息危害等级:高漏洞Rank:20 确认时间:2016-04-26 09:38
Showing 1-2 of 2 items.
评论内容评论人点赞数评论时间

一看wooyun白帽子大多是单身狗、竟然都不关注不评论这个、好尴尬、哈哈

Hax0rs02016-04-25 22:31:00

一看wooyun白帽子大多是单身狗、竟然都不关注不评论这个、好尴尬、哈哈

water02016-04-25 20:23:00