当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011169

漏洞标题:金山UED中心再次暴菊,管理员大屠杀

相关厂商:金山词霸

漏洞作者: 胯下有杀气

提交时间:2012-08-22 11:50

修复时间:2012-10-06 11:51

公开时间:2012-10-06 11:51

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-22: 细节已通知厂商并且等待厂商处理中
2012-08-22: 厂商已经确认,细节仅向厂商公开
2012-09-01: 细节向核心白帽子及相关领域专家公开
2012-09-11: 细节向普通白帽子公开
2012-09-21: 细节向实习白帽子公开
2012-10-06: 细节向公众公开

简要描述:

http://wooyun.org/bugs/wooyun-2012-010989 之后,金山只给了1分,说问题不严重。。。
所以就有了下文。没想到发现了更多更可笑的安全问题,杀气哥不只会xss的。。。
PS:附加一些wordpress这块硬骨头的渗透tips
PS2:也请金山wooyun接口人负点责好不好啊!好不好!!

详细说明:

有以下几个问题:
1)cookie漂移,获取bbs一定管理权限
金山UED用户投诉后台第一次渗透漏掉了一个细节,就是查看cookie的时候,发现很多cookie是种植到.iciba.com域下的,这说明了什么?有可能其他金山词霸项目会共用某些cookie,达到cookie漂移,获取其他产品权限!经过测试,发现确实存在问题,在bbs获取了版主权限。
2)后台sql注射,管理员md5一窝端
后台有个post注射,可以union,构造以下表单跑出所有管理员密码hash。
3)wordpress渗透
金山ued使用了wordpress,很多人都认为wordpress是块硬骨头,其实也是有点小技巧的。
wordpress很多漏洞都是依赖editor或者其他非管理权限的,那么在多用户的wp上尝试密码猜测 or 爆破得到类似权限即可利用了,如果能猜出admin,那就更棒了!
另外wp还有一个渗透tips是插件,皮肤,可以自己整理一个列表exploit一轮,说不定有惊喜,这样让wp的安全反而很难保证。
wordpress貌似3.0.1以及以前版本有个很少人知道的注射漏洞,但由于需要editor权限,所以算是个鸡肋,没有editor权限我们就找个好了,把鸡肋变鸡肉!这不,爆出某editor权限的弱口令!而且成功的利用了该漏洞。

漏洞证明:

1)cookie漂移



2)管理员密码一窝端

+-------+------------+----------------------------------+---------------+
| auths | auths_desc | password                         | username      |
+-------+------------+----------------------------------+---------------+
| None  | None       | 65ce55c3e464028375d2dafba960c1e4 | admin         |
| 1     | 节点管理       | 1f3870be274f6c49b3e31a0c6728957f | test          |
| None  | None       | 863a8f53d67237e848a9508a6d151e63 | quheng        |
| None  | None       | f7967d2d3104d30d313847ba99b8c5ce | wangxiaoran   |
| None  | None       | f5183ac2bb1c7f8297a9bf44e2bbcf2c | liuwen        |
| 1     | 节点管理       | e10adc3949ba59abbe56e057f20f883e | zhuxiaoming   |
| 1,2   | 节点管理,用户管理  | f7967d2d3104d30d313847ba99b8c5ce | liuyuanyuan   |
| None  | None       | 2950446c4588493424e3a900af3df1c4 | ouning        |
| None  | None       | fa246d0262c3925617b0c72bb20eeb1d | 沈灵清           |
| None  | None       | 3b87652ba0916c03c634d5db8558d494 | 陈琼            |
| None  | None       | 38a1af5bbfea2af7329437791b22481c | caimao        |
| None  | None       | 184ff021f2a07483d4db9b722d6910d7 | hejia         |
| None  | None       | a7dd37dbb3a2c648d76774d64b10fdae | liuxiaochao   |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | zhujianfeng   |
| None  | None       | 04cedecd2dce1e3c9c1392e6f48ccd1d | meiyajuan     |
| None  | None       | 276b1d8f369ebc2522e0e63bdf6a36a0 | liyue         |
| None  | None       | afefa43a91fb535cfd08664526c24b54 | wuna          |
| None  | None       | d9eac9415e821547a173194ff307573f | huangjin      |
| None  | None       | b3ef3b83af40990686b5f6920efe94d9 | duanshaozhen  |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | wangyanfei    |
| None  | None       | 60b5a35b5f398fa4e56f2f4ec8dacd7e | duanjing      |
| None  | None       | f7967d2d3104d30d313847ba99b8c5ce | duanjing      |
| None  | None       | 670b14728ad9902aecba32e22fa4f6bd | duanjing      |
| None  | None       | 532c28d5412dd75bf975fb951c740a30 | duanguangming |
| None  | None       | 40d3d709bcff2b0d2b94bbfec4fe115f | 文静            |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | diaoweizhuo   |
| None  | None       | e10adc3949ba59abbe56e057f20f883e | wangweilin    |
| None  | None       | fcea920f7412b5da7be0cf42b8c93759 | zoufan        |
+-------+------------+----------------------------------+---------------+


3)wordpress



修复方案:

对你们无力了,自己想吧,说的那么细了。。

版权声明:转载请注明来源 胯下有杀气@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-22 11:59

厂商回复:

多谢,我们将尽快修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-22 11:53 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我信洞主!

  2. 2012-08-22 11:54 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    -_-|| 楼下队形...

  3. 2012-08-22 11:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    我信洞主!

  4. 2012-08-22 11:58 | koohik ( 普通白帽子 | Rank:542 漏洞数:63 | 没什么介绍的http://www.koohik.com/)

    我信洞主!杀气很大,哈哈

  5. 2012-08-22 12:06 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    20点。哈哈。我信洞主,杀气哥生气了。

  6. 2012-08-22 12:15 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    我信洞主!

  7. 2012-08-22 12:27 | 风萧萧 认证白帽子 ( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)

    杀气重啊

  8. 2012-08-22 12:29 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    我信洞主!

  9. 2012-08-22 13:08 | kobin97 认证白帽子 ( 核心白帽子 | Rank:1754 漏洞数:190 | 关注网络安全。。)

    杀气重啊

  10. 2012-08-22 13:22 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    哈哈,杀气哥生气,后果很严重!!

  11. 2012-08-22 15:55 | 数据流 ( 普通白帽子 | Rank:716 漏洞数:88 | all or nothing,now or never)

    杀气腾腾啊!

  12. 2012-08-22 16:45 | chord ( 路人 | Rank:9 漏洞数:3 | 纯属路过的)

    哈哈哈..笑死我了..这次直接20点..膜拜杀气哥..跪拜 @胯下有杀气

  13. 2012-08-22 18:21 | only_guest 认证白帽子 ( 普通白帽子 | Rank:800 漏洞数:75 | PKAV技术宅社区-专心做技术.PKAV已经暂停...)

    杀气测漏.我感受到了!

  14. 2012-08-26 17:11 | ufohacker ( 路人 | Rank:3 漏洞数:1 | 提高的是能力不是技术!)

    这哥们专门搞XSS的~~~~

  15. 2012-08-27 18:31 | Passer_by ( 实习白帽子 | Rank:97 漏洞数:21 | 问题真实存在但是影响不大(腾讯微博Passer...)

    我信洞主!

  16. 2012-09-16 18:29 | CHForce ( 路人 | Rank:0 漏洞数:1 | 路过不代表我冷漠,走路不代表没有马)

    霸气测漏 把上次的rank 赚回来鸟

  17. 2012-10-08 13:03 | erevus ( 普通白帽子 | Rank:177 漏洞数:31 | Hacked by @ringzero 我錯了)

    膜拜大神

  18. 2012-10-08 13:18 | administrator ( 路人 | Rank:4 漏洞数:2 | 半壁河山半攻守,半争成败半悟道)

    我信洞主!

  19. 2012-10-10 13:39 | whking ( 路人 | Rank:14 漏洞数:4 | 诚实守信,与人为善!)

    我信洞主!

  20. 2013-05-09 18:28 | Ska ( 路人 | Rank:15 漏洞数:2 )

    我信洞主!

  21. 2013-06-25 17:31 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    金山应该还给1.这样就能让洞主免费给产品做一下安全检测。

  22. 2013-06-27 11:53 | CHForce ( 路人 | Rank:0 漏洞数:1 | 路过不代表我冷漠,走路不代表没有马)

    关键是md5直接出来了

  23. 2015-07-06 17:45 | 北丐 ( 普通白帽子 | Rank:104 漏洞数:20 | )

    杀气哥66666