当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011169

漏洞标题:金山UED中心再次暴菊,管理员大屠杀

相关厂商:金山词霸

漏洞作者: 胯下有杀气

提交时间:2012-08-22 11:50

修复时间:2012-10-06 11:51

公开时间:2012-10-06 11:51

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-22: 细节已通知厂商并且等待厂商处理中
2012-08-22: 厂商已经确认,细节仅向厂商公开
2012-09-01: 细节向核心白帽子及相关领域专家公开
2012-09-11: 细节向普通白帽子公开
2012-09-21: 细节向实习白帽子公开
2012-10-06: 细节向公众公开

简要描述:

http://wooyun.org/bugs/wooyun-2012-010989 之后,金山只给了1分,说问题不严重。。。
所以就有了下文。没想到发现了更多更可笑的安全问题,杀气哥不只会xss的。。。
PS:附加一些wordpress这块硬骨头的渗透tips
PS2:也请金山wooyun接口人负点责好不好啊!好不好!!

详细说明:

有以下几个问题:
1)cookie漂移,获取bbs一定管理权限
金山UED用户投诉后台第一次渗透漏掉了一个细节,就是查看cookie的时候,发现很多cookie是种植到.iciba.com域下的,这说明了什么?有可能其他金山词霸项目会共用某些cookie,达到cookie漂移,获取其他产品权限!经过测试,发现确实存在问题,在bbs获取了版主权限。
2)后台sql注射,管理员md5一窝端
后台有个post注射,可以union,构造以下表单跑出所有管理员密码hash。
3)wordpress渗透
金山ued使用了wordpress,很多人都认为wordpress是块硬骨头,其实也是有点小技巧的。
wordpress很多漏洞都是依赖editor或者其他非管理权限的,那么在多用户的wp上尝试密码猜测 or 爆破得到类似权限即可利用了,如果能猜出admin,那就更棒了!
另外wp还有一个渗透tips是插件,皮肤,可以自己整理一个列表exploit一轮,说不定有惊喜,这样让wp的安全反而很难保证。
wordpress貌似3.0.1以及以前版本有个很少人知道的注射漏洞,但由于需要editor权限,所以算是个鸡肋,没有editor权限我们就找个好了,把鸡肋变鸡肉!这不,爆出某editor权限的弱口令!而且成功的利用了该漏洞。

漏洞证明:

1)cookie漂移



2)管理员密码一窝端

+-------+------------+----------------------------------+---------------+
| auths | auths_desc | password                         | username      |
+-------+------------+----------------------------------+---------------+
| None  | None       | 65ce55c3e464028375d2dafba960c1e4 | admin         |
| 1     | 节点管理       | 1f3870be274f6c49b3e31a0c6728957f | test          |
| None  | None       | 863a8f53d67237e848a9508a6d151e63 | quheng        |
| None  | None       | f7967d2d3104d30d313847ba99b8c5ce | wangxiaoran   |
| None  | None       | f5183ac2bb1c7f8297a9bf44e2bbcf2c | liuwen        |
| 1     | 节点管理       | e10adc3949ba59abbe56e057f20f883e | zhuxiaoming   |
| 1,2   | 节点管理,用户管理  | f7967d2d3104d30d313847ba99b8c5ce | liuyuanyuan   |
| None  | None       | 2950446c4588493424e3a900af3df1c4 | ouning        |
| None  | None       | fa246d0262c3925617b0c72bb20eeb1d | 沈灵清           |
| None  | None       | 3b87652ba0916c03c634d5db8558d494 | 陈琼            |
| None  | None       | 38a1af5bbfea2af7329437791b22481c | caimao        |
| None  | None       | 184ff021f2a07483d4db9b722d6910d7 | hejia         |
| None  | None       | a7dd37dbb3a2c648d76774d64b10fdae | liuxiaochao   |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | zhujianfeng   |
| None  | None       | 04cedecd2dce1e3c9c1392e6f48ccd1d | meiyajuan     |
| None  | None       | 276b1d8f369ebc2522e0e63bdf6a36a0 | liyue         |
| None  | None       | afefa43a91fb535cfd08664526c24b54 | wuna          |
| None  | None       | d9eac9415e821547a173194ff307573f | huangjin      |
| None  | None       | b3ef3b83af40990686b5f6920efe94d9 | duanshaozhen  |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | wangyanfei    |
| None  | None       | 60b5a35b5f398fa4e56f2f4ec8dacd7e | duanjing      |
| None  | None       | f7967d2d3104d30d313847ba99b8c5ce | duanjing      |
| None  | None       | 670b14728ad9902aecba32e22fa4f6bd | duanjing      |
| None  | None       | 532c28d5412dd75bf975fb951c740a30 | duanguangming |
| None  | None       | 40d3d709bcff2b0d2b94bbfec4fe115f | 文静            |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | diaoweizhuo   |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | wangweilin    |
| None  | None       | fcea920f7412b5da7be0cf42b8c93759 | zoufan        |
+-------+------------+----------------------------------+---------------+


3)wordpress



修复方案:

对你们无力了,自己想吧,说的那么细了。。

版权声明:转载请注明来源 胯下有杀气@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-22 11:59

厂商回复:

多谢,我们将尽快修复。

最新状态:

暂无