当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122974

漏洞标题:亿航主站SQL注入(dba)导致主站被Shell(已提权)

相关厂商:ehang.com

漏洞作者: mango

提交时间:2015-06-26 20:21

修复时间:2015-08-10 20:52

公开时间:2015-08-10 20:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-26: 细节已通知厂商并且等待厂商处理中
2015-06-26: 厂商已经确认,细节仅向厂商公开
2015-07-06: 细节向核心白帽子及相关领域专家公开
2015-07-16: 细节向普通白帽子公开
2015-07-26: 细节向实习白帽子公开
2015-08-10: 细节向公众公开

简要描述:

亲~~会送我一个飞机么~~~哈哈

详细说明:

首先找到注入点

POST /index.php?a=getDate&c=Tiyan&m=Index HTTP/1.1
Content-Length: 95
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://www.ehang.com:80/
Cookie: PHPSESSID=24ntmu276hsdal9uegtpuipf65; JSESSIONID=aaaoyNP0TqFeS7CZPdV4u; search_history=%5B%221%22%2C%22ehang.com%22%2C%22%5Cu8bf7%5Cu8f93%5Cu5165%5Cu641c%5Cu7d22%5Cu5185%5Cu5bb9%5Cu54c6%5Cu5566A%5Cu68a6%22%5D
Host: www.ehang.com
Connection: Keep-alive
DontTrackMeHere: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept: */*
city=-1&provinces=%E4%B8%8A%E6%B5%B7%E5%B8%82


参数 city provinces 都有问题

GYM1Y37[@}]`V`TP3%_E80C.png

发现是dba权限

OPQN1ED7[7)Y`_FZ2X_LI]W.png


胡萝卜跑出数据更直接

S[E%FJV`0XXV1JNQWG0JVHO.png


漏洞证明:

从数据库中 找到了[email protected] 的密码 fs***206
登录邮箱

T7U$657Z1N)1E9[X7}74J(A.jpg


发现一些密码 然后找到禅道系统地址
http://m.ehang.com/
数据库里面也有

FXJIAA(D~5DGXZ]BY~]D@JS.png


登陆上去 利用

 WooYun: 禅道项目管理软件多个漏洞

里面的过程成功shell

MK4M@48P8MTU}0YZPPSDMIY.jpg


http://m.ehang.com//data/upload/1/201506/2617491409316rbe.php 密码 -7

$ZV@HG)H@{FYO}DX6_941VG.png


发现是windows系统 已经成功提权
建立了一个用户和密码都是mango

101@[O1VY9{5CEE@AGG82`F.jpg


http://www.ehang.com/NewFile.txt

1.png


修复方案:

1. 严查sql注入
2. 有些服务请不要对外网开放
3. 能送个礼物么~~

版权声明:转载请注明来源 mango@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-26 20:50

厂商回复:

感谢mango,15rank,thanks!

最新状态:

暂无