当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014405

漏洞标题:Siteserver cms某处SQL注入漏洞

相关厂商:北京百容千域软件技术开发有限公司

漏洞作者: Nohat

提交时间:2012-11-06 10:36

修复时间:2012-12-21 10:36

公开时间:2012-12-21 10:36

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-06: 细节已通知厂商并且等待厂商处理中
2012-11-07: 厂商已经确认,细节仅向厂商公开
2012-11-10: 细节向第三方安全合作伙伴开放
2013-01-01: 细节向核心白帽子及相关领域专家公开
2013-01-11: 细节向普通白帽子公开
2013-01-21: 细节向实习白帽子公开
2012-12-21: 细节向公众公开

简要描述:

最新程序版本3.5也存在此漏洞,官网测试成功,可到服务器权限。

详细说明:

1、以下页面存在注入点:

http://demo2.siteserver.cn/LiveFiles/Pages/Inner/count.aspx?ModuleType=Count&UserModuleClientID=ctl00_ctl00_TemplateHolder_ContentHolder_ctl08&userName=friends%27%20and%20%271%27=%271


1.png


2、注啊注:

2.png


3、到这里,有两条分支可以走:
(1)直接利用数据库安全配置问题来读目录、写shell等

3.png


写文件就没截图了,反正就是利用数据库写文件到web目录,或非web目录
(2)读取管理员帐户密码登录后台添加模板,直接添加aspx的单文件模板。ps:管理密码是加密的,没关系,我们插入一个密码找回的答案就可以去后台登录页面找回密码了(加密方式可逆、亲民)

4.png


5.png


然后后台插模版写shell
图可能有点乱,各种子域名都有,因为官网多数子域名存在该漏洞,主站www.siteserver.com没有
本来不想发到这里公开的,毕竟开源cms不比单独某个站点,一旦公开,使用者都有可能受到影响。所以希望wooyun能够谨慎公开、厂商能够及时督促用户更新程序。
借wooyun客服回复我的话:

2 所有漏洞都会在厂商处理后45天公开的,对于你提到的cms的问题,如果的确是有安全问题就应该第一时间让厂商进行修复,因为很可能你并不是第一个发现这个安全问题的人,厂商应该建立合适的渠道去通知自己的用户修复此安全问题。


半路出家,不专业之处还请包涵

漏洞证明:

菜刀图

6.png


7.png

修复方案:

最新版本3.5都存在此漏洞,还能怎么办?
我是学美术的,半路出家,还不懂怎么防注入,
但是我知道,删除 /LiveFiles/Pages/Inner/count.aspx一定管用
功能强大之后不能忘了安全

版权声明:转载请注明来源 Nohat@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2012-11-07 18:58

厂商回复:

经过近日测试,在siteserver CMS官方站点上未复现漏洞情况(根据图片确认)。根据CMS软件特征及用户列表找寻互联网上实例时,实际测得一例存在注入漏洞,与官方网站安全可确认为通用软件漏洞。
将在8日由CNVD直接联系生产厂商处置,同时将继续测试和确认采用该CMS的用户网站列表,视是否存在重要部门用户采取其他处置流程。
按完全影响机密性进行评分,(是否可提权需要看网站个例配置情况),基本危害评分7.79,发现技术难度系数1.1(通用软件漏洞),涉及行业或单位影响系数1.6(可能涉及多家政府和重要信息系统部门及广大企业网站),综合rank=7.79*1.1*1.6=13.710

最新状态:

暂无


漏洞评价:

评论

  1. 2013-04-15 00:23 | l4mbda ( 路人 | Rank:22 漏洞数:3 | 嘘嘘)

    求密码逆算方法

  2. 2013-04-17 23:18 | Nohat ( 实习白帽子 | Rank:36 漏洞数:4 )

    @l4mbda 只知道他的算法是可逆的,具体内容我也不清楚。但是通过密码找回功能就可以看到密码的明文(因为前面通过注入已经得密码找回的答案)