当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0178126

漏洞标题:某集中无线控制器命令执行(从svn信息泄露到命令执行/需要登陆)

相关厂商:sunnada.com

漏洞作者: 带头大哥

提交时间:2016-02-24 14:03

修复时间:2016-05-26 17:40

公开时间:2016-05-26 17:40

漏洞类型:

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-02-24: 细节已通知厂商并且等待厂商处理中
2016-02-26: 厂商已经确认,细节仅向厂商公开
2016-02-29: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-04-21: 细节向核心白帽子及相关领域专家公开
2016-05-01: 细节向普通白帽子公开
2016-05-11: 细节向实习白帽子公开
2016-05-26: 细节向公众公开

简要描述:

从svn信息泄露到命令执行

详细说明:

#三元达通信集中无线控制器
#存在SVN文件源代码泄漏漏洞漏洞
#案例演示(漏洞深度影响等不再过多赘述):
#**.**.**.**/.svn/entries

001.png


#**.**.**.**/.svn/entries

002.png


#**.**.**.**/.svn/entries

003.png


#**.**.**.**/.svn/entries

004.png


#**.**.**.**/.svn/entries

005.png


通过svn信息泄露把源代码down到本地
其他页面都需要登录验证

2.png



<?php include '../isLogin.php' ?>


在审计过程中发现如下

apgroup/getChannelByCountryCode.php


3.png


系统中gpc为off,这里就是个sql了
但是默认不回显,我们加上or 1=1使他回显,然后用sqlmap注入

1111.png


1.png


在islogin.php文中,我们知道他的管理员保存的表如下:

5.png


select * from LoginAccount where UserId=".$_UserId." and UserName='".$_UserName."'"
直接sql-shell获取

4.png


[12:00:02] [INFO] retrieved: 347
[12:00:28] [INFO] retrieved: 25d55ad283aa400af464c76d713c07ad

6.png


在ap/ap_base_info.php处找到一处命令执行

7.png


由于该处命令执行不回显,所以采用cloudeye
使用cloudeye执行命令

9.png


但是在cloudeye后台死活没反应,经过快2小时找原因,特么的,居然不能访问外网,我擦
最终找到web路径
直接内网执行,但是得注意的是,他对参数有过滤

function safeValue($data)
{
if (!get_magic_quotes_gpc())
{
$srcarr=array('<','>');
$replacarr=array('&lt;','&gt;');
return is_array($data) ? array_map('safeValue', $data) :str_replace($srcarr,$replacarr,addslashes($data));
}
}


所以我们执行下

10.png


12.png


漏洞证明:

#附带剩余35案例:

**.**.**.**/.svn/entries       **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries **.**.**.**/.svn/entries
**.**.**.**/.svn/entries


所以我们执行下

10.png


12.png

修复方案:

立即修复.
注:注入重复
http://**.**.**.**/bugs/wooyun-2015-0151898

版权声明:转载请注明来源 带头大哥@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2016-02-26 17:31

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无