漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-062071
漏洞标题:某建站公司开发的CMS存在通用SQL注射、任意文件上传、管理员密码修改漏洞
相关厂商:某网络科技有限公司
漏洞作者: U神
提交时间:2014-05-25 11:27
修复时间:2014-08-23 11:28
公开时间:2014-08-23 11:28
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-25: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向第三方安全合作伙伴开放
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-23: 细节向公众公开
简要描述:
@疯狗,这个危害大啊~多个漏洞打包了,求来个首页,今晚请你吃饭!
详细说明:
#1.通用漏洞的详细描述
#2.关键字的搜索量、厂商主页的案例列表:
漏洞证明:
#3.SQL注入漏洞的实例证明(乌云要求枚举5枚):
************************************************************************************************
#4.任意文件上传证明【admin_topsi/addpic.php】:
首先要知道默认后台是:admin_topsi/login.php
默认后台页面样式:
详细说明:后台的文件上传页面【admin_topsi/addpic.php】
虽然限制了访问该页面,但是通过测试,本地构造上传表单直接post到这个地址,NC提交post数据包或者开启抓包工具就可以得到上传的文件。
EXP:
然后提交之后抓包,获得上传文件,统一存储在【upload】目录下:
继续枚举案例:
再继续枚举案例:
最后再努力举例一枚:
************************************************************************************************
#5.管理员密码修改证明【admin_topsi/modifypwd.php】
首先说明一下,这套CMS存在通用帐号:“admintopsi”,跟上面原理一样,直接提交就可以了,虽然会跳转到登录框,但是无视它直接用新密码登录会发现成功登录,下面构造EXP:
大神一眼看出这个EXP有问题吧,我也暂时没有分析出用户名是怎么接收的?源码没权限拿到啊~所以这里只能改默认帐号“admintopsi”,但是绝大多存在该默认帐号~
实战测试:
根据注入发现这个网站存在默认帐号:admintopsi
然后直接上EXP去修改,修改成功~
再来一例~(仔细看,虽然会跳转到登录框)
最后再演示一例:
PS:有人会说,你这肯定是登录后台留下了缓存或cookie导致可以修改密码的,首先我要这样说,测试这个漏洞的时候我并没有去尝试登录后台,而是先通过注入得到帐号密码,然后将密码解密,这里解密是因为我既然改了别人密码肯定要改回去是吧,不然别人很着急的,所以我先记下原密码,然后我连后台都没登录过,然后通过上面给出的EXP,直接将密码修改成123456或其它密码,结果发现确实是可以登录的,也就是说无需进入后台就可以修改密码。我所奇怪之处就是不知道这个用户名是如何接收的,测试了一下用增加一个input里面的id改为username、name都无效,通过抓包也没分析出来~而且这些网站真奇怪!
修复方案:
PS:希望cncert在测试修改密码这个漏洞的时候先通过注射将原密码注射出来解密后,记住原密码,然后再尝试测试修改密码这个漏洞!以免给他人带来不必要的麻烦,谢谢合作~
【以上均为安全测试,漏洞报告,其他人请勿用于非法用途或破坏,否则后果自负】
版权声明:转载请注明来源 U神@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-05-30 09:49
厂商回复:
CNVD确认并复现所述情况,由CNVD通过公开联系渠道向软件生产厂商通报处置。
最新状态:
暂无