域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

漏洞概要

缺陷编号:WooYun-2015-0125876

漏洞标题:域名服务商安全之纳网科技某奇葩漏洞可劫持任意域名(影响银行\证券\政府类等站点)

相关厂商:纳网科技

漏洞作者:小胖子

提交时间:2015-07-12 11:32

公开时间:2015-08-29 08:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-12: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-25: 细节向核心白帽子及相关领域专家公开
2015-08-04: 细节向普通白帽子公开
2015-08-14: 细节向实习白帽子公开
2015-08-29: 细节向公众公开

简要描述:

要重新审视国内中间服务商的安全状况了。
奇葩且神奇的漏洞!!

详细说明:

本次测试实际上是来自众测的需求。目标站点注册商是纳网科技。纳网科技有限公司成立于2006年,是获得CNNIC认证(中国互联网信息中心)和ICANN认证(互联网域名体系最高管理机构)双认证的顶级注册商,专注于为企业、机构和个人提供互联网基础的解决方案和专业化信息服务。为企事业单位用好互联网而努力。大量的企事业单位和政府域名注册在纳网。随意搜索一下:Sponsoring Registrar: 厦门纳网科技有限公司https://s.bt.gg/#newwindow=1&q=Sponsoring+Registrar:+%E5%8E%A6%E9%97%A8%E7%BA%B3%E7%BD%91%E7%A7%91%E6%8A%80%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8列举部分域名:事业单位类

http://**.**.**.**账号:**.**.**.**通用密码:><所有账号用这个“><”都能登录

政府类:

漏洞证明:

所有域名的管理平台都在**.**.**.**漏洞就出现在这个平台

域名管理类似原万网域名管理,只需要域名,和域名管理密码,即可登陆管理。在爆破登陆入口的时候发现如下问题。

居然成功登陆,后来思考,密码这么复杂,不可能会这么巧吧。经过反复验证,账号为域名,密码只需要包含尖括号 >< 闭合密码语句,即可顺利登陆这逻辑,简直了。并且,登陆后可返回正确的明文密码。

简直妥妥的。并且,在修改域名密码处,存在严重越权漏洞。抓包修改密码。

修改域名ID,即可修改任意域名的管理密码,用burp跑一下批量重置也能另类劫持,只是动静比较大。

修复方案:

0x1:登陆处最好加上验证码吧,检查密码校验逻辑。0x2:修改域名数据时进行用户鉴权。0x3:明文密码是什么鬼?

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-07-1508:39

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向网站管理单位_纳网科技(为CNCERT处置体系单位)直接通报.域名服务商安全风险视同基础设施运行风险,rank20

最新状态:

暂无

评价

  1. 2010-01-01 00:00 JiuShao 白帽子 | Rank:202 漏洞数:23)

    前排

  2. 2010-01-01 00:00 高小厨 白帽子 | Rank:910 漏洞数:71)

    又来,屌屌的

  3. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    艾玛,我雷呢?

  4. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    艾玛,我雷呢?

  5. 2010-01-01 00:00 answer 白帽子 | Rank:370 漏洞数:31)

    前排

  6. 2010-01-01 00:00 niliu 白帽子 | Rank:1384 漏洞数:141)

    卧槽....我还没搞完,你就提交了

  7. 2010-01-01 00:00 白非白 白帽子 | Rank:312 漏洞数:27)

    @小胖子 雷在裤裆里呢~

  8. 2010-01-01 00:00 Focusstart 白帽子 | Rank:294 漏洞数:30)

    @小胖子 雷在裤裆里呢~ 需要掏出来

  9. 2010-01-01 00:00 无名 白帽子 | Rank:32 漏洞数:3)

    收下我的膝盖~

  10. 2010-01-01 00:00 有归于无 白帽子 | Rank:49 漏洞数:5)

    表哥吊吊的

  11. 2010-01-01 00:00 动感超人 白帽子 | Rank:31 漏洞数:3)

    我跪着,也看不到

  12. 2010-01-01 00:00 随随意意 白帽子 | Rank:125 漏洞数:14)

    胖爷牛逼

  13. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)

    这个漏洞还是挺神奇的,我猜表哥走的是狗屎运!闪一下⚡️

  14. 2010-01-01 00:00 Y4ngshu 白帽子 | Rank:30 漏洞数:3)

    雷了 - -

  15. 2010-01-01 00:00 JGHOOluwa 白帽子 | Rank:5 漏洞数:1)

    胖爷流逼

  16. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    ⚡️ ⚡️ ⚡️ ⚡️ ⚡️ ⚡️ 劈死你

  17. 2010-01-01 00:00 浩天 白帽子 | Rank:851 漏洞数:68)
  18. 2010-01-01 00:00 Chora 白帽子 | Rank:317 漏洞数:22)

    宝贝吊的飞起。

  19. 2010-01-01 00:00 一只猿 白帽子 | Rank:421 漏洞数:49)

    ⚡️

  20. 2010-01-01 00:00 px1624 白帽子 | Rank:963 漏洞数:126)
  21. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    ⚡️

  22. 2010-01-01 00:00 小杰哥 白帽子 | Rank:185 漏洞数:15)
  23. 2010-01-01 00:00 zzR 白帽子 | Rank:1179 漏洞数:101)

    总算明白了一个道理:在这里混,思路银荡才是王道,胖君,肥皂又掉地上鸟

  24. 2010-01-01 00:00 zeracker 白帽子 | Rank:1028 漏洞数:134)

    看样子昨天加的V 效果很到位啊

  25. 2010-01-01 00:00 酸奶、 白帽子 | Rank:77 漏洞数:8)

    胖爷V5

  26. 2010-01-01 00:00 sql 白帽子 | Rank:808 漏洞数:77)

    牛逼啊
    什么字典 怎么有那么奇葩的密码

  27. 2010-01-01 00:00 3ang 白帽子 | Rank:0 漏洞数:0)

    6666666666

  28. 2010-01-01 00:00 wsg00d 白帽子 | Rank:124 漏洞数:9)

    字典屌

  29. 2010-01-01 00:00 夏殇 白帽子 | Rank:15 漏洞数:3)

    这样都行啊,这么奇葩

  30. 2010-01-01 00:00 Mark 白帽子 | Rank:38 漏洞数:3)

    好奇代码是怎么写的

  31. 2010-01-01 00:00 Rainism 白帽子 | Rank:10 漏洞数:1)

    好奇葩

  32. 2010-01-01 00:00 http://www.wooyun.org/corps/厦门纳网科技有限公司 白帽子 | Rank:0 漏洞数:0)

    此事已确认为技术问题,漏洞发现后我方已迅速修正。感谢您为纳网提出的宝贵建议,我们都会重视并迅速提出解决方案的,用户的最佳体验才是我们的服务宗旨。纳网科技,我们一直在努力。

  33. 2010-01-01 00:00 心云 白帽子 | Rank:64 漏洞数:7)

    这思路。。。