漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

要重新审视国内中间服务商的安全状况了。
奇葩且神奇的漏洞!!

详细说明:

本次测试实际上是来自众测的需求。目标站点注册商是纳网科技。
纳网科技有限公司成立于2006年,是获得CNNIC认证(中国互联网信息中心)和ICANN认证(互联网域名体系最高管理机构)双认证的顶级注册商,专注于为企业、机构和个人提供互联网基础的解决方案和专业化信息服务。为企事业单位用好互联网而努力。
大量的企事业单位和政府域名注册在纳网。
随意搜索一下:Sponsoring Registrar: 厦门纳网科技有限公司
https://s.bt.gg/#newwindow=1&q=Sponsoring+Registrar:+%E5%8E%A6%E9%97%A8%E7%BA%B3%E7%BD%91%E7%A7%91%E6%8A%80%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8
列举部分域名:
事业单位类

mask 区域
*****m.cn 招*****
*****cn 杭^*****


http://www.nwabc.cn
账号:cmschina.com.cn
通用密码:><
所有账号用这个“><”都能登录

1.png


政府类:

mask 区域
*****i.gov*****
*****ety.g*****
*****y.go*****
*****c.gov*****
*****c.go*****
*****d.gov*****
*****p.co*****
*****j.go*****
*****j.gov*****
*****bb.g*****
*****dj.g*****
*****j.gov*****
*****.gov*****
*****sj.g*****
*****xj.g*****
*****.gov*****
*****j.go*****
*****ng.go*****
*****j.gov*****
*****g.gov*****
*****fy.g*****
*****urt.go*****
*****dj.go*****
*****s.gov*****
*****it.go*****
*****f.go*****
*****z.go*****
*****j.go*****
*****cj.g*****


hzbank.jpg

漏洞证明:

所有域名的管理平台都在
www.nwabc.cn 漏洞就出现在这个平台

abc.jpg


域名管理类似原万网域名管理,只需要域名,和域名管理密码,即可登陆管理。
在爆破登陆入口的时候发现如下问题。

burp.jpg


居然成功登陆,后来思考,密码这么复杂,不可能会这么巧吧。
经过反复验证,账号为域名,密码只需要包含尖括号 >< 闭合密码语句,即可顺利登陆
这逻辑,简直了。
并且,登陆后可返回正确的明文密码。

baoxing.jpg


简直妥妥的。
并且,在修改域名密码处,存在严重越权漏洞。
抓包修改密码。

139.jpg


修改域名ID,即可修改任意域名的管理密码,用burp跑一下批量重置也能另类劫持,只是动静比较大。

修复方案:

0x1:登陆处最好加上验证码吧,检查密码校验逻辑。
0x2:修改域名数据时进行用户鉴权。
0x3:明文密码是什么鬼?

标签: none

评论已关闭