By Jannock@wooyun

简要描述：

首先
http://www.wooyun.org/bugs/wooyun-2010-03608
对这位兄弟表示羡慕嫉妒。正好今天有空，再一次对小米科技的网络进行渗透测试。
说实话，发表这篇东西时，表示有点害怕，已经不是在想能不能获取手机的问题了。
本次渗透只进行到进入内部网络与某官网服务器。本次渗透很值得用统一密码的人思考。

详细说明：

首先从某分站注入点开始
http://xshare.api.xiaomi.com/xShare?do=list2&choice=sms&category=x%27%20and%201=2%20union%20select%201,2,3,host,user,password,7,8,9,0,1,2,3%20from%20mysql.user%23&orderby=m_hot
些注入点表示已经通知过官方，但可以是已经弃用的部分网站，所以一直还没处理。于是渗透就从此处开始。
由于是root ,拿shell http://xshare.api.xiaomi.com/rso/1.php

事实也证明，此服务器没什么用途，和官方电商网络跟离差远。不过此处还是存在几个分站网站。
连续数据库
数据库中没什么可以关注的信息，最具重要的数据库是：ucenter ，当然，这个是弃用的数据库，用户数据不是最新，但是可以作为很好的渗透的社工库。

但到这一步，好像到了绝路，也没什么进展。
到这步，离目标小米的电商网站差远了。于是找xiaomi.com的相关信息，值得注意的是域名的注册信息。
http://www.myip.cn/xiaomi.com
注册邮箱：[email protected]
于是想到，能不能进入邮箱看到更多的信息或可以获取域名权限呢？
于是想到了刚才的数据库，于是查询
http://xshare.api.xiaomi.com/xShare?do=list2&choice=sms&category=x%27%20and%201=2%20union%20select%201,2,3,4,concat%28uid,0x7c,username,0x7c,password,0x7c,salt,0x7c,email%29,6,7,8,9,0,1,2,3%20from%20ucenter.uc_members%20where%20email%20like%27%25snowhilloldman%25%27%20limit%200,1%23&orderby=m_hot
果然存在用这个邮箱注册的用户名，于是破解密码，成功进入了邮箱。
在些邮箱好像都是关于域名的信息。（在这里先不好意思，查看邮箱部分邮件内容）
到这步，最多只能说是可以通过邮箱取回得域名密码，对域名进行控制。但这样还是对小米电商服务器差远了。
通过通信录，进而发现另一个邮箱[email protected]，应该是同一个人。进入，果然成功。到这里明朗了，不过也是有点害怕了，这里记录了同事之间的交流，当然还有大量服务器密码信息。
直接搜VPN，居然还直接有内部网络的VPN，和某公司官网服务器权限的信息。
于是登陆VPN，ssh进入官网服务器。
整个渗透过程结束。
其实也没什么技术，主要还是社工的问题，在这里建议重要邮箱或重要的密码与一般的密码最好要区分出来。不然就很容易被社工了。
这里再一次表示抱歉，还没经过同意进行了本次渗透，写完后，保证把本次所有记录的东西完全删除。

漏洞证明：

修复方案：

没有绝对的安全，小小的缺口都有可能造成较大的安全问题。