当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0178126

漏洞标题:某集中无线控制器命令执行(从svn信息泄露到命令执行/需要登陆)

相关厂商:sunnada.com

漏洞作者: 带头大哥

提交时间:2016-02-24 14:03

修复时间:2016-05-26 17:40

公开时间:2016-05-26 17:40

漏洞类型:

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-02-24: 细节已通知厂商并且等待厂商处理中
2016-02-26: 厂商已经确认,细节仅向厂商公开
2016-02-29: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-04-21: 细节向核心白帽子及相关领域专家公开
2016-05-01: 细节向普通白帽子公开
2016-05-11: 细节向实习白帽子公开
2016-05-26: 细节向公众公开

简要描述:

从svn信息泄露到命令执行

详细说明:

#三元达通信集中无线控制器
#存在SVN文件源代码泄漏漏洞漏洞
#案例演示(漏洞深度影响等不再过多赘述):
#**.**.**.**/.svn/entries

001.png


#**.**.**.**/.svn/entries

002.png


#**.**.**.**/.svn/entries

003.png


#**.**.**.**/.svn/entries

004.png


#**.**.**.**/.svn/entries

005.png


通过svn信息泄露把源代码down到本地
其他页面都需要登录验证

2.png



<?php include '../isLogin.php' ?>


在审计过程中发现如下

apgroup/getChannelByCountryCode.php


3.png


系统中gpc为off,这里就是个sql了
但是默认不回显,我们加上or 1=1使他回显,然后用sqlmap注入

1111.png


1.png


在islogin.php文中,我们知道他的管理员保存的表如下:

5.png


select * from LoginAccount where UserId=".$_UserId." and UserName='".$_UserName."'"
直接sql-shell获取

4.png


[12:00:02] [INFO] retrieved: 347
[12:00:28] [INFO] retrieved: 25d55ad283aa400af464c76d713c07ad

6.png


在ap/ap_base_info.php处找到一处命令执行

7.png


由于该处命令执行不回显,所以采用cloudeye
使用cloudeye执行命令

9.png


但是在cloudeye后台死活没反应,经过快2小时找原因,特么的,居然不能访问外网,我擦
最终找到web路径
直接内网执行,但是得注意的是,他对参数有过滤

function safeValue($data)
{
    if (!get_magic_quotes_gpc())
    {
           $srcarr=array('<','>');
           $replacarr=array('&lt;','&gt;');
           return is_array($data) ? array_map('safeValue', $data) :str_replace($srcarr,$replacarr,addslashes($data));
    }
}


所以我们执行下

10.png


12.png


漏洞证明:

#附带剩余35案例:

**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries        **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries        **.**.**.**/.svn/entries
**.**.**.**/.svn/entries        **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries        **.**.**.**/.svn/entries
**.**.**.**/.svn/entries


所以我们执行下

10.png


12.png

修复方案:

立即修复.
注:注入重复
http://**.**.**.**/bugs/wooyun-2015-0151898

版权声明:转载请注明来源 带头大哥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2016-02-26 17:31

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-02-24 14:19 | YY-2012 ( 核心白帽子 | Rank:3814 漏洞数:726 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    www.wooyun.org/bugs/wooyun-2015-0151898

  2. 2016-02-25 08:33 | 带头大哥 ( 普通白帽子 | Rank:819 漏洞数:247 | |任意邮件伪造| |目录遍历| |任意文件读取|...)

    @YY-2012 注入重复,已在漏洞详细中备注。SVN的是另一种设备~