从一个QQ群号到登入bilibili内网(危及包括主站在内的大量应用源码)

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-05-13: 细节已通知厂商并且等待厂商处理中
2016-05-13: 厂商已经确认,细节仅向厂商公开
2016-05-23: 细节向核心白帽子及相关领域专家公开
2016-06-02: 细节向普通白帽子公开
2016-06-08: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

从一个QQ群号到登入bilibili内网(危及包括主站在内的大量应用源码)

详细说明:

上次在 WooYun: bilibili某内部接口设计不当可根据会员id任意登录(内部API文档泄露) 中我有提到过的公开项目泄露



其中项目"crayon/Doc"中有一个文件"freshman.md"(似乎是前端开发组的入职说明)

其中包括公司wifi密码(存在风险但本次不做讨论)和一个开发组内部QQ群号

1.png





在QQ中用群号搜索群是可以看到创建者和管理员的信息的

2.png





接下来省略掉失败的尝试直奔主题

根据上面可以知道452491823这个QQ号是该内部群的管理员,继而用这个QQ号到互联网上的公开的社工库上去查询

3.png



可以获得一个密码,但这个密码并不是我们接下来要用的,我们要用的是用户名



使用

用户名:[email protected]

密码:cyf17234

登录人人网

4.png



到这里我们知道了其真实姓名为陈逸帆

[email protected]



其实到这里我是不抱任何希望的,因为根据同样的公开项目泄露(项目"wuwenhao/security_rule"中的文件“员工信息安全手册.pdf")可以得知

5.png



从企业的规定来看是要绑定微信验证码的



但……

6.png



使用

用户名:[email protected]

密码:cyf17234

成功登录企业邮箱且没有微信验证码



以“密码”为关键字搜索邮件内容

可以获得

1、LDAP账号的初始密码

7.png



2、关于VPN的说明

8.png





到这里我又是不抱任何希望的了,初始密码还是要改的吧

然而……

9.png





进了内网用刚才的LDAP账户就基本上可以畅通无阻了(除了需要TOTP的地方)

漏洞证明:

GitLab:

10.png



可以确定“web/bilibili”这个项目就是主站

11.png





Redmine:

12.png





Jenkins:

13.png





Wiki:

14.png





Pocscan(http://zone.wooyun.org/content/25980):

15.png

 

修复方案:

1、提高员工安全意识,加强管理

2、Gitlab的项目最好是默认私有然后以项目为单位个别授权给需要权限的用户

版权声明:转载请注明来源 端端@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-13 10:24

厂商回复:

行政说:"罚钱是违反劳动法的..",我们B站是良心企业!哼!

最新状态:

2016-06-08:已修复


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度未收录『点击提交』

本文链接:从一个QQ群号到登入bilibili内网(危及包括主站在内的大量应用源码) - https://www.15qq.cn/wooyun/403.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知