漏洞详情

披露状态:

2014-10-29: 细节已通知厂商并且等待厂商处理中
2014-10-29: 厂商已经确认,细节仅向厂商公开
2014-10-29: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

http://www.wooyun.org/bugs/wooyun-2014-080889,盛大认为这是正常的业务设计,不是漏洞,评无影响或忽略,那今天就给你们演示演示如何通过这个产生影响。
当初你们游戏送我鼠标垫的原因就是活动的未授权访问,现在我把人情还给你们。从此两清。希望你们sdg从此以后不要再拿鼠标垫来怀疑我的人品。否则这不是一个市值17亿公司的处事风格。

详细说明:

通过 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 ,我们可以通过脚本批量获取所有接入盛大统一应用管理平台的后台管理地址。经过确认,目前最新的后台应用id为3373。
如果只获取到很少数量的后台地址,那么没什么意义,因为这些后台业务都需要经过UAM的验证才能登入,否则都做未授权处理而被跳出。
但是, WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 可以获取到大规模的后台地址,完全可以根据这些数据做出一些分析,然后举一反三。
从这些后台地址可以分析出,盛大各大游戏平台的活动应用相当多,达到一千多个。这么多数量的活动,运维难免会出现一些疏忽。而 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 获取到的后台地址是实时更新的,甚至包含前台未上线活动,那么完全可以猜测是否存在一般测试系统常见问题,如弱口令、未授权访问等。
通过对这些后台地址进行遍历,发现http://act.pao.sdo.com/project/140811zhlj/admin/存在未授权访问。

21.jpg


22.jpg


用户资料不贴。你们自己清楚。
通过查看cookies发现,它对应的session path为站点根目录,而不是该应用路径。

23.jpg


那么我们猜测,是否可以通过这个已经授权的session登录其它同域名下未授权登录的后台?
和《最终幻想14》步骤一样,于是从获取到的所有后台列表内查找act.pao.sdo.com且以asp编程的后台,找到13个相关后台。

http://act.pao.sdo.com/project/0910jinqiu/admin
http://act.pao.sdo.com/project/140707maidong/admin
http://act.pao.sdo.com/project/140627zh/admin
http://act.pao.sdo.com/project/140516card/admin
http://act.pao.sdo.com/project/140318lovenew/admin/
http://act.pao.sdo.com/project/v83/admin/
http://act.pao.sdo.com/project/111014pk/admin/
http://act.pao.sdo.com/project/101229/admin
http://act.pao.sdo.com/project/100601tr/admin
http://act.pao.sdo.com/project/100510_3year/Admin
http://act.pao.sdo.com/project/turntable/admin/
http://act.pao.sdo.com/project/CallFriend/admin
http://act.pao.sdo.com/project/090807lm/admin


这里有个细节,即使你有漏洞系统生成的session,如果直接访问这些后台,依然会跳转到UAM认证界面,我们需要绕一下。刚才挖掘发现一个通用问题,盛大所有以asp编程的活动平台的后台menu.asp文件均存在未授权访问,所以我们需要先访问待检测系统的menu.asp,才能进入后台系统。


于是这几个原本安全、需要统一验证才能登录的后台,由于这个未授权访问产生的session,全部变成未授权访问了。

漏洞证明:

通过 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 ,我们可以通过脚本批量获取所有接入盛大统一应用管理平台的后台管理地址。经过确认,目前最新的后台应用id为3373。
如果只获取到很少数量的后台地址,那么没什么意义,因为这些后台业务都需要经过UAM的验证才能登入,否则都做未授权处理而被跳出。
但是, WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 可以获取到大规模的后台地址,完全可以根据这些数据做出一些分析,然后举一反三。
从这些后台地址可以分析出,盛大各大游戏平台的活动应用相当多,达到一千多个。这么多数量的活动,运维难免会出现一些疏忽。而 WooYun: 盛大某系统设计缺陷可导致上千后台地址暴露 获取到的后台地址是实时更新的,甚至包含前台未上线活动,那么完全可以猜测是否存在一般测试系统常见问题,如弱口令、未授权访问等。
通过对这些后台地址进行遍历,发现http://act.pao.sdo.com/project/140811zhlj/admin/存在未授权访问。

21.jpg


22.jpg


用户资料不贴。你们自己清楚。
通过查看cookies发现,它对应的session path为站点根目录,而不是该应用路径。

23.jpg


那么我们猜测,是否可以通过这个已经授权的session登录其它同域名下未授权登录的后台?
和《最终幻想14》步骤一样,于是从获取到的所有后台列表内查找act.pao.sdo.com且以asp编程的后台,找到13个相关后台。

http://act.pao.sdo.com/project/0910jinqiu/admin
http://act.pao.sdo.com/project/140707maidong/admin
http://act.pao.sdo.com/project/140627zh/admin
http://act.pao.sdo.com/project/140516card/admin
http://act.pao.sdo.com/project/140318lovenew/admin/
http://act.pao.sdo.com/project/v83/admin/
http://act.pao.sdo.com/project/111014pk/admin/
http://act.pao.sdo.com/project/101229/admin
http://act.pao.sdo.com/project/100601tr/admin
http://act.pao.sdo.com/project/100510_3year/Admin
http://act.pao.sdo.com/project/turntable/admin/
http://act.pao.sdo.com/project/CallFriend/admin
http://act.pao.sdo.com/project/090807lm/admin


这里有个细节,即使你有漏洞系统生成的session,如果直接访问这些后台,依然会跳转到UAM认证界面,我们需要绕一下。刚才挖掘发现一个通用问题,盛大所有以asp编程的活动平台的后台menu.asp文件均存在未授权访问,所以我们需要先访问待检测系统的menu.asp,才能进入后台系统。


于是这几个原本安全、需要统一验证才能登录的后台,由于这个未授权访问产生的session,全部变成未授权访问了。

修复方案:

·自求多福。

标签: none

评论已关闭