v2board面板数据泄露 上万翻墙用户信息被提交至中国警方
攻击者已将泄露数据(使用者邮箱、订阅信息)等在各大IDC群发布,并举报至中国大陆警方。
其目的就是要中国大陆现有的翻墙用户(特别是使用QQ等国内邮箱注册的)被警方列入重点关注名单。
转发jizanyang3@hostloc:著名机场面板V2B(覆盖市面80%以上机场)出现漏洞,攻击者已经将三个机场全站的用户数据发到tg频道,数据包含了邮箱、hash过的密码、套餐信息、订阅链接等敏感信息。
plant 330:v2board机场面板数据被开了
Github项目:https://github.com/planet-cx330/v2board-Data
目前已公布4个机场站点:
paopao.dog——30583名用户——月流水10W+
direct.gfwservice.xyz——24962名用户
wyy.netyi.cloud——17059名用户
bygcloud.com——22500名用户——月流水10W+
泄露者TG频道:https://t.me/v2boardxx(以下言论均转发自泄露者)
关于v2board项目泄漏事件,我们会在此处公开手里所有数据,欢迎各位关注,涉事站点大约100+,数据约400余万(不完全统计),数据中包含注册邮箱,节点信息,及加密的密码等。
部分数据我们会进行公开,并且会打包给国内负责相关事宜的工作人员,涉及站点大约100+(群达到一定人数我会发布,谢谢)数据中包含注册邮箱/经过加密的密码及节点方式一些其他信息。
如果有大陆的警方工作人员,可以与我联系,我很乐意配合并且保留一些社工的看法,与建议,邮箱 v2boardxx@gmail.com
泄露数据已公开传播,建议保持良好心态,如遇警方问询,坦白从宽。
最傻逼白月光这种机场,自己干的什么生意还特么搞邮箱验证码,把用户都卖完了。
v2board数据泄露漏洞复盘:
通过review问题代码发现,问题在于鉴权中间件。
1.6.1版本的token存储方式从session改成了cache,导致作者重写了鉴权代码
新的鉴权代码造成了严重的漏洞
众所周知v2board的管理员信息和用户信息都在user表,仅用is_admin字段区分是否管理员
管理员API的中间件鉴权代码和用户API中间件鉴权代码一模一样,只是多了个is_admin校验。
如图所示中间件首先会检查浏览器提交的token是否在服务器cache,也就是redis中。如果有,直接通过鉴权。
问题就在于这,普通用户在登录后生成的token已经在服务器redis表中,所以将普通用户的token直接提交到管理员相关API接口,即可通过鉴权,没有任何权限校验。
也就是普通用户的token,可以随意调用管理员的API,相当于拥有了完整的管理员后台权限。
https://twitter.com/AyagawaSeirin/status/1603385153480716288