当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0186480

漏洞标题:野兽骑行任意文件泄漏导致SQL注入进入某后台(手贱误冲10G流量)

相关厂商:野兽骑行

漏洞作者: mango

提交时间:2016-03-19 14:13

修复时间:2016-05-03 14:13

公开时间:2016-05-03 14:13

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-05-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

这个,我本来想看看这个自行车的,
不小心进入后台点了充值
(我并不知道是真后台,以为只是个测试遗弃的后台)

详细说明:

先从http://us.speedx.com 说起
这个站本来没啥问题,但是扫目录却发现根目录下存在/forum/路径,按照官网的路径这应该是个BBS社区,尝试输入index.php竟然下载了。
选择下载数据库文件

TSQ0WO~K8NVG{0$6B4C~88A.png


尝试利用 但是创世人密码解密不出来 而且key也不对~
并没有灰心的我,又翻了一遍发现http://us.speedx.com/forum/uc_server/data/cache/apps.php 也存在 下载后发现了key

}Y}4A1%@81AZL~$CWK09U73.png


尝试利用一些getshell方法 并没有用

]A0[$FO3AVJKNN5N8SI{GQM.png


看样子版本挺高的 没办法只好重置admin密码了 用key 重置管理员密码 mango1995

WB9_LCAQ]X5Z~Z(A38X@$3W.png


成功登陆后台 但是这个版本实在太高了 也没啥可以利用的
看到端口这么多就扫扫看,暴露的端口挺多的
有 5555 7777 9999
打开扫一下路径
扫到后台管理
http://tester.speedforce.com:7777/admin
http://tester.speedforce.com:9999/admin

0I)[ZT(V3BFIQCMT7GK`JWD.png


当时的心理"看着样子应该是测试后台,不管了看能不能上去上传webshell进一步利用吧"
然而并不知道密码
但是我又想了一想,会不会和那个bbs在一个站的数据库里呢? 我又看看了Dz的数据库是root的
能不能利用key进行注入呢?
答案是可以的,本地搭建就行
这请教了NOXXX师傅,他给除了一些代码并且可以利用

0GZ`$5@M2]Y@M38M6EBB45T.png


漏洞证明:

OK搭设完成可以开始注入了~ 

back-end DBMS: MySQL 5.0
Database: beast
Table: s_user_account
[2 entries]
+--------------------------+--------+--------------------------------------------------+------------------+----------+----------+---------------+------------------------------------------------------------------------------------------+--------------+-----------+---------------------+---------------------+-----------+--------------+---------------------+------------+---------------------+--------------+---------------------------+---------------+-------------------+---------------------+
| id                       | pk_id  | salt                                             | email            | authData | is_staff | username      | password                                                                                 | last_name    | third_key | updatedAt           | createdAt           | is_active | first_name   | last_login          | third_type | date_joined         | is_superuser | sessionToken              | emailVerified | mobilePhoneNumber | mobilePhoneVerified |
+--------------------------+--------+--------------------------------------------------+------------------+----------+----------+---------------+------------------------------------------------------------------------------------------+--------------+-----------+---------------------+---------------------+-----------+--------------+---------------------+------------+---------------------+--------------+---------------------------+---------------+-------------------+---------------------+
| <blank>                  | 100625 | ZuzWixUF8BAP5ct0NtoT2brblwEEndt6ZMtqeSpGM7SeeDKS | test@test.com    | NULL     | 1        | test@test.com | 3s2H0DoG2YrUsc+S/0h0dsRbTcD1prgt90/KqcZ2wQXVdu56XrLI9C1FlBNNgU5fUkspP2/pvx24cFqb3RjaJg== | <blank>      | NULL      | 2016-01-04 14:15:03 | 2016-01-04 14:15:03 | 1         | <blank>      | NULL                | NULL       | 2016-01-04 14:15:03 | 1            | NULL                      | 0             | <blank>           | 0                   |
| 55d1879c60b24927fc98b682 | 100059 | b5ccc3q0e7kjc39vqy9rh84khopz6ph8eb1y5k66ce20qv9l | higgjtjf@aaa.com | NULL     | 0        | jfjgjvjgjfjg  | vnw24z2G/aN+rCPiRzNGCRylXrWncXQg/3rkqRUVaDHaDJemkO5z491dcGEc6qyGmkVMonwomnHcI386ruWCjA== | jfjgjvjgjfjg | NULL      | 2015-10-29 03:04:33 | 2015-10-29 03:04:33 | 1         | jfjgjvjgjfjg | 2015-08-17 07:05:59 | NULL       | 2015-08-17 07:05:00 | 0            | 1pbpaa4pqeh8bdxrwghp3v9ie | 0             | NULL              | 0                   |
+--------------------------+--------+--------------------------------------------------+------------------+----------+----------+---------------+------------------------------------------------------------------------------------------+--------------+-----------+---------------------+---------------------+-----------+--------------+---------------------+------------+---------------------+--------------+---------------------------+---------------+-------------------+---------------------+


抽样几条数据库发现这个应该是那个后台的 不过这个加密我是没办法了~ 但是我觉得这个既然是测试后台那么密码绝对很简单的不会设置很难的
果然不出我所料
test@test.com 密码 test 成功登陆后台

YY$MCMZDN{{XJ2Y2%X42%B5.png


找来找去没找到上传点 但是找到了一个俱乐部管理里面有个充值 我本以为不可能成功的!!!!
(还是我太天真!!!)

0_1}2[0AJ7_YGLY26W~DQ63.png


我就输入我的手机号 然后显示充值成功,我看短信提示都没有应该是假的,就又试了几个!!!!最后困了,看着都凌晨3点多了我要去中国移动签到领取100M流量的时候
赫然写着!!!您本月还省流量17000M 我的妈呀真的冲进来了。。。。。

Screenshot_2016-03-19-02-45-32.png


这情何以堪啊~~~~我真不是故意的!!!!

修复方案:

最后严肃一点吧,仔细检查那个线上代码问题,清楚不用的Dz的uckey,管理员后台不得对外开放,坚决杜绝管理员弱口令!!!!最后的最后!!大大千万别查水表~大不了我不要你们的礼物了,实在不行我再给您冲回去!!!!

版权声明:转载请注明来源 mango@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评价

  1. 2016-03-19 14:47 | 莫里 ( 普通白帽子 | Rank:161 漏洞数:53 | )

    10年不谢

  2. 2016-03-19 15:34 | ’‘Nome ( 普通白帽子 | Rank:144 漏洞数:31 | 有事请发邮件,2859857@gmail.com,垃圾邮...)

    mango 大牛,最少6年牢狱之灾

  3. 2016-03-19 15:58 | 小龙 ( 普通白帽子 | Rank:2293 漏洞数:484 | 我就问,还有谁!!!!!!!!!!!!!...)

    10年不谢

  4. 2016-03-19 21:06 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:323 | 啥都不会....)

    mango 大牛,最少6年牢狱之灾

  5. 2016-03-19 23:05 | M0nster ( 实习白帽子 | Rank:55 漏洞数:18 | 允许我国的艺术家先富起来)

    10年不谢

  6. 2016-03-20 10:38 | prolog ( 普通白帽子 | Rank:743 漏洞数:147 )

    10年不谢

  7. 2016-03-25 16:02 | 立志成为厨神的男人 ( 路人 | Rank:15 漏洞数:1 | 我饿了)

    真的要十年吗 流量好贵

  8. 2016-03-27 11:24 | 玄道 ( 普通白帽子 | Rank:140 漏洞数:41 | 就是注入 就是注入 注入)

    10年不谢