当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(13) 关注此漏洞

缺陷编号: WooYun-2014-75308

漏洞标题: 英皇娱乐官网存在SQL注射、目录遍历等漏洞可getshell

相关厂商: eegmusic.com

漏洞作者: lijiejie认证白帽子

提交时间: 2014-09-07 06:16

公开时间: 2014-10-22 06:18

漏洞类型: 任意文件遍历/下载

危害等级: 高

自评Rank: 10

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 目录遍历,SQL注射

1人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-10-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

英皇娱乐官网存在SQL注射,目录遍历等漏洞,通过上传漏洞拿到了webshell

详细说明:

随手测试英皇娱乐,缘分呐。



1. 源于一处目录遍历

无意中发现http://eapa.eegmusic.com/ 存在一处目录遍历:

例如,下载passwd:

http://eapa.eegmusic.com/download.php?path=upload/../../../../../../../../etc/passwd

此处非root,无法下载shadow。

用nmap扫描发现,除了80端口,无其他对外开放的端口。

一个利用的技巧是:

a) 通过下载不存在的文件,暴路径

b) 通过是否报错No such file or directory,可猜文件夹(文件)是否存在



2. 在php文件中搜索敏感信息

因为权限较低,无法下载一些敏感的.bash_history文件,所以只能在有权限读的php文件中找数据了。

首先是找到了数据库账号:

http://eapa.eegmusic.com/download.php?path=upload/../../../../../../../..//home/eapa/config/DbConfig.php

code 区域
'dbms' => 'Mysql',
'dbhost' => '192.168.1.242',
'dbname' => 'eapa',
'username' => 'www-online',
'password' => 'mini@)!)server',



然而,数据库在内网,无法直接外连。拿到账号不能直接利用。



3. 发现www和eapa位于同一IP

思路在这里稍微有些中断,因为eapa站点非常简单,实际已发现后台backend目录,但是并不在www目录下,无法直接通过现有域名直接访问,虽然我也可以猜一下vhosts.conf文件。

后来我试着在114best.com上面查对应IP是否还存在其他域名。惊奇地发现原来www官网也在上面。



4. 猜文件名

因为eapa位于/home/eapa/,于是我猜www位于/home/eegmusic下,运气挺好,猜中了。

(因为passwd文件中有该用户eegmusic)

然后我尝试去读了一些php文件,发现数据库账号都跟eapa一样的,没多大用。



5.发现SQL注射

当读到一个/news/content.php文件时,发现注射:

code 区域
list($photo_image1, $photo_image2, $photo_size2) = db_selectrow_array($dbh_r, 'select photo_image1, photo_image2, photo_imagesize2 from news_photo where oid=? and status=1 order by sequence limit 1', $id);



确认SQL注射存在后,我用sqlmap拖下了user表(mysql账号不能写文件):

sqlmap.py -u "http://www.eegmusic.com/news/content.php/view/1333*" -D eegmusic -T cms_user --dump

发现密码已加盐,而且是随机盐。并且salt是8位字母数字混合的。很难解开。



6. 用弱密码登录

不过在这个过程中,发现数据库中保存着少量的明文不加盐密码,非常弱:123456.

于是,我试着逐个用123456,当试到第二个的时候,就成功了。

提示需要修改密码,修改之后,成功登录后台!

漏洞证明:

系统管理员,进入后台,已经可以修改数据:

eegmusic.png



通过附件上传拿到webshell:

eegmusic_webshell.png



未提权,测试到此结束

eegmusic_ping.png



修复方案:

解决

1) 目录遍历

2) SQL注射

3) 任意文件上传

版权声明:转载请注明来源 lijiejie@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-22 09:48 | SarSae ( 路人 | Rank:10 漏洞数:4 | 11111)
    0

    我是来看周慧敏女神的

  2. 2014-10-22 10:00 | RipZ ( 普通白帽子 | Rank:182 漏洞数:48 | 安装tc130精神扰乱装置)
    0

  3. 2014-10-22 11:43 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)
    0

    哇。。。洞主看看里面还存的娱乐圈内幕文件没有。。

登录后才能发表评论,请先 登录