当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2014-52740

漏洞标题: 皮皮精灵SQL注入可被上传WebShell

相关厂商: 皮皮精灵

漏洞作者: U神

提交时间: 2014-03-04 14:06

公开时间: 2014-04-18 14:07

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

3人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-04: 细节已通知厂商并且等待厂商处理中
2014-03-04: 厂商已经确认,细节仅向厂商公开
2014-03-14: 细节向核心白帽子及相关领域专家公开
2014-03-24: 细节向普通白帽子公开
2014-04-03: 细节向实习白帽子公开
2014-04-18: 细节向公众公开

简要描述:

多低调的标题!

详细说明:

code 区域
#1.主要是因为我曾经提交了一个漏洞: WooYun: 皮皮精灵XSS盲打后台导致多个管理员中枪 


   然后厂商居然忽略了,后来厂商告诉我是因为春节没什么人值班,导致未确认而忽略了,于是乎我就在想,我一定要再给它找出一个漏洞来,然后看了一下皮皮精灵的漏洞史,看到了这个: WooYun: 皮皮精灵某站沦陷近500w用户信息面临泄漏风险  漏洞,仔细打开图片看看,是织梦的,并且后台没有打码,后台地址也没有改,后台地址是:


http://content.pp.cc/ctpanel/login.php





#2.突然想到前几天爆出了DEDECMS全版本通杀SQL注入,于是试试可不可以用,输入目录plus提示没有,但其实很多白帽子经常忽略,有时候一个网站提示正在建设,或者怎么的,但你要相信虽然网站提示暂停服务但不一定说明web文件已经移除。






02.jpg






然后借用工具直接爆出了所有管理员的密码,说明漏洞文件/plus/recommend.php是存在的


手工EXP:


http://content.pp.cc//plus/recommend.php?aid=1&_FILES[type][name]&_FILES[type][size]&_FILES[type][type]&_FILES[type][tmp_name]=aa\%27and+char(@`%27`)+/*!50000Union*/+/*!50000SeLect*/+1,2,3,group_concat(userid,0x23,pwd),5,6,7,8,9%20from%20`%23@__admin`%23






01.jpg






整理了一下,其中pader、七曜、sck339、dora、a1053355625、冰雨含柔、zhang001 这几个帐号的密码是可以破解的,织梦的MD5只要去掉前三位和后一位再拿去解密即可破解,并且冰雨含柔、zhang001这两位同学用的是同一个密码。

漏洞证明:

code 区域
#3. 于是解密,然后发现pader的权限比其它的要大很多,核心配置都是可以查看的,其它的则无法查看,然后成功进入后台.






03.jpg






#4.虽然后台限制了很多,但是最后还是被我getshell了。






04.jpg






数据库我就不爆了,上面那个带馅儿馒头已经暴过了,并且数据库连接信息没有改。

修复方案:

PS:仅供测试,未动任何文件,未脱裤,白帽子是不会干这种事的,切勿跨省!建议如果不需要到/plus/recommend.php 可删除,并且加强各个管理员的密码安全,那什么密码pp2012,如果fuzzer起来完全可以爆破猜解到-_-

一般能得到shell的建议给20Rank,就当补补前面给你们提交了却忽略了的漏洞的分吧。

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-04 19:14

厂商回复:

我们还以为是黑客呢,当时感觉不是白帽子,不过既然是白帽子也就放心了。

十分感谢,DedeCMS 实在是一个令人头疼的问题,我们已经不再维护这个程序了,再仍然需要放在线上运行,这东西的渣架构也注定了漏洞满天飞。

PS:我们真的不是有意要忽略你上次发的漏洞,神啊(U神),请原谅。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2014-03-04 14:10 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    2

    又把我的标题改的高调了

    1# 回复此人
  2. 2014-03-04 19:19 | 皮皮精灵(乌云厂商)
    1

    @U神 你标题这么高调,你家里人知道吗?

    2# 回复此人
  3. 2014-03-04 19:29 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    1

    @皮皮精灵 我的标题本来是皮皮精灵SQL注入,已shell!然后审核人员改吊了~~你放心,数据什么的都没有动你们的哈,请自查log,只是后台研究了拿shell的时候添了一两个测试文章,不过都删了~shell的名称叫zx.php,为了不让运营人员偷懒,请自行删除,上次那个忽略的就算了,既然你们确认了,我后期还有几个漏洞提交给你们~

    3# 回复此人
  4. 2014-03-04 19:59 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | ☯☯☯☯☯☯☯☯☯☯)
    1

    @皮皮精灵 我们还以为是黑客呢,警察叔叔快抓住@U神

    4# 回复此人
  5. 2014-04-18 14:51 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)
    0

    @U神 能把上面的getshell工具给偶发一份吗?新手哈~少工具~

    5# 回复此人
  6. 2014-04-18 15:09 | 刺丶魂 ( 路人 | Rank:17 漏洞数:9 )
    0

    @U神 把上面的getshell工具 给我发一份吧!菜鸟需要 工具!

    6# 回复此人
  7. 2014-04-18 16:10 | YHHK ( 路人 | Rank:22 漏洞数:5 | love hacker!love technology!)
    0

    我们还以为是黑客呢

    7# 回复此人

登录后才能发表评论,请先 登录