小恩爱弱口令可编辑/查看用户和SQL注入

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-04-25: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开

简要描述:

弱口令

详细说明:

首先查看了一下小恩爱的Whois,



QQ截图20160425191744.jpg



有一个.net的域名,然后跑一下子域名发现挺多后台应用。



authqas.xiaoenai.net

monitor1314.xiaoenai.net

admin.xiaoenai.net

ci.xiaoenai.net

games.xiaoenai.net

smtp.xiaoenai.net

package.xiaoenai.net

op.xiaoenai.net

admin.xiaoenai.net

apollo.xiaoenai.net

conf.xiaoenai.net

wall.xiaoenai.net

sell.xiaoenai.net

streetadm.xiaoenai.net

gitlab.xiaoenai.net





里面许多都没验证码和登陆次数,所以可以暴力破解密码。

跑了一下发现存在弱口令。





code 区域
wangbin 123456
fangding 123456





QQ截图20160425192528.jpg





CEO的账号,可编辑与查看邮箱与手机,这样修改就可以把任意恩爱号占为己有...



反馈与社区:

QQ截图20160425192707.jpg







可添加修改商品与专题查看所有订单(大概有几十万的订单),同时存在sql注入问题。

QQ截图20160425193250.jpg





QQ截图20160425193801.jpg







基本随便点一个页面就存在注入问题。

QQ截图20160425193657.jpg





https://sell.xiaoenai.net/order/list/search_all?name=A&phone=&id=&product_id=



(xiao 123456)



https://streetadm.xiaoenai.net/productions/list/search_all?id=10&seller_id=&title=&seller_name=&scene=



这两个同理 都差不多。随便一个参数存在注入。



漏洞证明:

见详细说明

修复方案:

增加验证码,或者采用更安全的方式登陆。有些后台不应该暴露在外网。

版权声明:转载请注明来源 Noxxx@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-04-26 09:38

厂商回复:

非常感谢您对小恩爱安全的关注。

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度未收录『点击提交』

本文链接:小恩爱弱口令可编辑/查看用户和SQL注入 - https://www.15qq.cn/wooyun/950.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知