当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141659

漏洞标题:PIW内容管理系统多个SQL注入可导致Shell(影响危害都很大)

相关厂商:PIW内容管理系统

漏洞作者: 路人甲

提交时间:2015-09-20 12:46

修复时间:2015-12-21 20:02

公开时间:2015-12-21 20:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-20: 细节已通知厂商并且等待厂商处理中
2015-09-22: 厂商已经确认,细节仅向厂商公开
2015-09-25: 细节向第三方安全合作伙伴开放
2015-11-16: 细节向核心白帽子及相关领域专家公开
2015-11-26: 细节向普通白帽子公开
2015-12-06: 细节向实习白帽子公开
2015-12-21: 细节向公众公开

简要描述:

详细说明:

终于把代码审完了,就打包一起发了吧?危害还是很大的,很多很牛的站点,涉及的站点不一一列举。%100的root权限,有物理路径直接导出shell,当然这里的getshell不是靠注入导出shell的。后面再看吧~
来个大厂商如何?补补多年没有赚的rank?
 北京东方网景既是一个域名注册商,也会承接网站建设,PIW内容管理系统就是东方网景开发的?不过最近东方网景被白帽子们挖漏洞挖的挺火的。
官方有部分案例列表:
http://**.**.**.**/model_item.html?action=list&table=Article&classid=4
截几个比较屌的站点案例吧:
民生银行、中国联合协会、宝马、奔驰、雷克萨斯、格力、中国国家人事人才培训、核工业、中国邮政、北京大学、清华大学、北京工业人才、首都大学、国土资源、中国脱盐、中国青旅等等。

c1.jpg


c2.jpg


c3.jpg


c4.jpg


c5.jpg


c6.jpg


案例:

mask 区域 
1.http://**.**.**/piw/               国家安全生产监督管理总局某站点_
2.http://**.**.**/piw/     国家安全生产监督管理总局某站点_
3.http://**.**.**/          国家安全生产监督管理总局某站点_
4.http://**.**.**/piw/         中华人民共和国商务部某站点(有大WAF)_
5.http://**.**.**/               国土资源部某站点_
6.http://**.**.**/            国家工业行业知识产权某站点_
7.http://**.**.**/            国家环境保护部某站点_
8.http://**.**.**/        中国某环保合作中心(后台限IP)_
9.http://**.**.**/       民生银行某站点_
10.http://**.**.**/          国际某安全交流网_
11.http://**.**.**/piw/         某市征兵网_
12.http://**.**.**/          中国农产品某站点_
13.http://**.**.**/         中国水利企业协会某站点_
14.http://**.**.**/             某国际合作联盟_
15.http://**.**.**/           航天工程某站点_
16.http://**.**.**/             某旅酒店物业管理有限公司_
17.http://**.**.**/              首都社会福利某站点_
18.http://**.**.**/              北京市某人才网_
19.http://**.**.**/               北京某协会_
20.http://**.**.**/                 北京某认证中心_
21.http://**.**.**/                中国某大学国际学院_
22.http://**.**.**/                某市生物学中心_
*****^      ^*****
23.http://**.**.**/                某卫生监督所_
24.http://**.**.**/                某大型公司_
25.http://**.**.**/               某市经济和信息化委员会_
26.http://**.**.**/                某大型工程技术有限公司_
27.http://**.**.**/                   某汽车科技有限公司_
28.http://**.**.**/               某大型工程公司_
29.http://**.**.**/               某物业管理有限公司_
30.http://**.**.**/               某医药控股集团_
31.http://**.**.**/                某旅游用品_
32.http://**.**.**/                  某电子公司_
33.http://**.**.**/piw/                  某影视光电技术有限公司_
34.http://**.**.**/               某大型医疗技术服务有限公司_
35.http://**.**.**/                   某产业联盟_
36.http://**.**.**/               北京金瑞致科技发展有限公司_
37.http://**.**.**/               北京某科技发展有限公司_
38.http://**.**.**/                 某策划公司_
39.http://**.**.**/              某科技网_
40.http://**.**.**/                   北京某自动化设备有限公司_
41.http://**.**.**/                        某车辆网站_
42.http://**.**.**/                北京某科技集团有限公司_
43.http://**.**.**/                 某知名变速箱有限公司_
44.http://**.**.**
45.http://**.**.**
46.http://**.**.**/                  某知名控股集团

漏洞证明:

【免责声明:详细说明与漏洞证明为漏洞报告非利用方式,漏洞将由厂商认领或者提交给国家互联网应急中心进行通知厂商修复,本漏洞仅供证明漏洞存在未获取任何有效机密数据,案例仅供国家互联网应急中心测试使用,其它人不可利用漏洞进行恶意破坏,否则后果自负,漏洞在厂商确认后均做打码处理,感谢您的支持与理解!】
注意咯~多加一个"/"就会404。
第一处:
/piw/Question/module/codebranchs.jsp?value=1

sql1.jpg


第二处:/piw/Site/BadWordsExport.jsp?ids=999

sql2.jpg


第三处:/piw/MessageBoard/message.jsp?DataId=1&Code=1

sql3.jpg


第四处:/piw/Question/module/code.jsp?value=1

sql4.jpg


第五处:/piw/Job/positionDetail.jsp?ID=-1

sql5.jpg


第六招:getshell
通过sql可以获取后台的账号密码,后台音频视频附件上传的地方没有文件上传没有校验,但是你传jsp是不会被解析的,但巧PHP则会被解析。

shell1.jpg


但是不返回文件名啊,有什么用?不不不,在文件管理就可以找到。哈哈~

shell2.jpg


成功解析:

shell3.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-09-22 20:01

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向网站管理单位通报。

最新状态:

暂无