频道栏目
首页 > 安全 > 网站安全 > 正文
斗鱼TV从一个IP未授权访问到2000多万用户信息(主播电话QQ任我看/kill各视频节点信息等)
2016-01-20 09:21:22         来源:路人甲  
收藏   我要投稿

最近找工作找实习,求解救

问题得从一个ip说起。


闲来无事,到处逛逛,在看斗鱼的时候挺多好看的妹纸直播,于是乎来看看斗鱼安全性如何。


随便在google上输入斗鱼信息,直到看到这一条信息
 

QQ图片20151201164112.png







我们打开看看
 

cdll.png



测试后得知后面跟着的那个id是直播的房间号,能够看到一些公开的信息

这其中的这些ip引起我的注意,这些ip肯定是跟直播有关的ip,我们扫扫看
 

QQ图片20151201164355.png



除了6379之外好像并没有什么值得我们利用的东西,这时候我想到,可不可能两个或者三个ip段都是斗鱼的?
 

QQ图片20151201165135.png



于是为了验证我的想法,我扫描了前一个ip段的内容


嘿嘿,主要问题来源于这个段
 

QQ图片20151201165656.png


看到了吗,看到这些信息我觉得有戏,于是还有很多诸如6379这类的端口,因为找不到根目录就不一一shell

接下来突破的关键点在集群系统,从这一个段的80端口来看,可能都是一些集群的机器和监控方面的内容
 

QQ图片20151201170128.png


关键问题出现在如下几个ip


https://119.90.48.215:8080/index.html

https://119.90.48.201:8080/index.html


首先说下这个问题,

Storm UI是一套集群系统,其中利用的地方不多,关键在于能够kill集群中的某些进程机器,设想一下随意kill掉某台集群服务器,说不定是什么视频直播的服务器还是啥,那么视频就直接卡死了,对主站造成的危害可想而知
 

QQ图片20151201170414.png


接下来才是问题的关键,由于这套集群系统的未授权访问导致了,众多的内网mysql密码账户泄露,但我们没办法进入内网,所以很难有实际的利用,但在接触过程中我发现一枚公网的mysql服务器密码,于是,打开了一扇新的大门
 

QQ图片20151201170715.png



看到了吗,关键!!

我们立即用远程连接mysql的工具尝试连接,成功!
 

QQ图片20151201164951.png


好多数据库,众多的数据库中,包含着众多的表,找到其中一个看看

全部是用户的信息,虽然没有密码,但是手机号qq号码都有,想象一下对一个主播而言最为大的威胁是什么,就是这些,可想而知危害

QQ图片20151201145415.png


我们看看表的行数
 

QQ图片20151201162816.png



2015年十月的用户总数达到2000多万,这些信息要是落入黑客手中可想而知危害

同时还爆出了内网一些列监控服务器的mysql密码和信息

QQ图片20151201145001.png


还有一系列斗鱼工作内部人员的邮箱电话信息
 

QQ图片20151201145114.png


如果进一步渗透,危害系数更大, 注意了斗鱼

 

QQ图片20151201162816.png

 

解决方案:

全面修复

(弱弱问一句,斗鱼招人吗,求解救)。

点击复制链接 与好友分享!回本站首页
上一篇:由“最近访客”引起的xss血案
下一篇:汉庭酒店某站权限控制不严(泄露用户手机、地址信息)
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站