当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-098748

漏洞标题:WDCP一处小地方不严谨引发的一系列安全隐患

相关厂商:wdlinux

漏洞作者: ddy

提交时间:2015-03-02 10:10

修复时间:2015-03-07 10:12

公开时间:2015-03-07 10:12

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-02: 细节已通知厂商并且等待厂商处理中
2015-03-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

求打雷求打雷
貌似WDCP的用户好多呀,然后某宝上面用wdcp做控制面板开空间的也好多...
WDCP一处小地方不严谨,引发成功登录和登录失败的IP均可以被伪造、“登录锁定”这个功能被绕过、登录记录前台无法查看、奇怪的生物混进来以及各种xss

详细说明:

本漏洞是基于 WooYun: WDCP后台的登录IP可被伪造 的再深入挖掘

系统信息
系统名称:WDlinux Control Panel (简称wdCP) (WD订阅)
当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926) 更新日志
操作系统:Linux 2.6.18-308.el5


获取用户ip的时候 使用且仅使X-Forwarded-For的信息
详细说明见漏洞证明

漏洞证明:

0x01
WooYun: WDCP后台的登录IP可被伪造
补充说明一下,成功登录和登录失败的IP均可以被伪造
0x02
伪造了IP之后,绕过了后台“登录锁定”这个功能

登录锁定	  密码错误三次将锁定半小时,即半小时内同一个IP不能登录


QQ截图20150228135428.jpg


开启“登录锁定”这个功能

QQ截图20150228135517.jpg


输入一个IP,然后登录,当然啦登录时候填写的密码是错误的

QQ截图20150228135352.jpg


QQ截图20150228135254.jpg


然后密码错误三次将锁定半小时,即半小时内同一个IP不能登录,打不开登录页了
别担心,再重复上面一步,改下IP就么么哒满血复活了

QQ截图20150228135907.jpg


QQ截图20150228135318.jpg


好了,又可以继续登录了

系统登录日志
ID	用户名	密码	IP	时间	状态
280	admin	********	1.1.1.3	2015-02-28 13:52	失败
279	admin	********	1.1.1.3	2015-02-28 13:52	失败
278	admin	********	1.1.1.2	2015-02-28 13:51	失败
277	admin	********	1.1.1.2	2015-02-28 13:51	失败
276	admin	********	1.1.1.2	2015-02-28 13:51	失败
275	admin	********	1.1.1.1	2015-02-28 13:51	失败
274	admin	********	1.1.1.1	2015-02-28 13:51	失败
273	admin	********	1.1.1.1	2015-02-28 13:51	失败


QQ截图20150228140004.jpg


0x03
轻松隐藏历史登录IP直接显示,即未授权用户可以阻止普通用户、正常用户、管理员查看历史登录IP
为了更好地演示,我先刷一遍登录日志,我绝对不是炫耀我IP好看而这样做的!!

系统登录日志
ID	用户名	密码	IP	时间	状态
329	admin	******	183.18.1*****8	2015-02-28 14:11	成功
328	admin	******	183.18.1*****8	2015-02-28 14:11	成功
327	admin	******	183.18.1*****8	2015-02-28 14:11	成功
326	admin	******	183.18.1*****8	2015-02-28 14:11	成功
325	admin	******	183.18.1*****8	2015-02-28 14:11	成功
324	admin	******	183.18.1*****8	2015-02-28 14:11	成功
323	admin	******	183.18.1*****8	2015-02-28 14:11	成功
322	admin	******	183.18.1*****8	2015-02-28 14:10	成功
321	admin	******	183.18.1*****8	2015-02-28 14:10	成功
320	admin	******	183.18.1*****8	2015-02-28 14:10	成功
319	admin	******	183.18.1*****8	2015-02-28 14:10	成功
318	admin	******	183.18.1*****8	2015-02-28 14:10	成功
317	admin	******	183.18.1*****8	2015-02-28 14:10	成功
316	admin	******	183.18.1*****8	2015-02-28 14:10	成功
315	admin	******	183.18.1*****8	2015-02-28 14:10	成功
314	admin	******	183.18.1*****8	2015-02-28 14:10	成功
313	admin	******	183.18.1*****8	2015-02-28 14:10	成功
312	admin	******	183.18.1*****8	2015-02-28 14:10	成功
311	admin	******	183.18.1*****8	2015-02-28 14:10	成功
310	admin	******	183.18.1*****8	2015-02-28 14:10	成功
309	admin	******	183.18.1*****8	2015-02-28 14:10	成功
308	admin	******	183.18.1*****8	2015-02-28 14:10	成功
307	admin	******	183.18.1*****8	2015-02-28 14:10	成功
306	admin	******	183.18.1*****8	2015-02-28 14:10	成功
305	admin	******	183.18.1*****8	2015-02-28 14:10	成功
304	admin	******	183.18.1*****8	2015-02-28 14:10	成功
303	admin	******	183.18.1*****8	2015-02-28 14:10	成功
302	admin	******	183.18.1*****8	2015-02-28 14:10	成功
301	admin	******	183.18.1*****8	2015-02-28 14:10	成功
300	admin	******	183.18.1*****8	2015-02-28 14:09	成功
注:只显示最近30条记录


QQ截图20150228141400.jpg


QQ截图20150228141421.jpg


在IP填上这样的代码

<script>alert(1)</sc

QQ截图20150228141726.jpg


然后登录,无论成功于否,IP都不见了
(尼玛噢,我辛辛苦苦刷得这么好看的IP一下子不见了)

QQ截图20150228141914.jpg


QQ截图20150228141959.jpg


0x05
莫好奇,好奇被雷x
好吧 我又刷一次IP,刷满满的
然后,在IP里面填入

<c/onclick=alert()>c


QQ截图20150228142330.jpg


然后到前台登录一下(成功失败都记录IP的),我们在后台,查看IP
咦,这是什么鬼?怎么长得这么奇特

QQ截图20150228142522.jpg


长得好独特的IP啊,让我们用树枝戳一下它

QQ截图20150228142544.jpg


QQ截图20150228142608.jpg


雷到了吗。。打雷的吗。。。求打雷啊啊
0x06
毕竟不是所有人看到奇特的生物都会拿树枝戳一下它,那就最后一个吧,写完我也该洗洗睡了

<svg/onload=alert()>


QQ截图20150228143027.jpg


QQ截图20150228143130.jpg


还是原来的窗口,还是熟悉的框框

QQ截图20150228143204.jpg

修复方案:

呃,感觉自己说得有点啰嗦噢,不过这是我第二次研究xss(第一次献给了ip138)

QQ截图20150228143812.jpg


===========
据说可以让名字或ID,永久驻留wdcp的手册里
求礼物。。。。。
===========
呃- -感觉修复我不用说了吧。。。。
过滤。。。。。
关键地方不要使用或者只用 HTTP_X_FORWARDED_FOR中的信息
么么哒,快点发布新版本嘛。。好久没更新了。。。。

版权声明:转载请注明来源 ddy@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-03-07 10:12

厂商回复:

最新状态:

暂无