当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0212147

漏洞标题:绕过小皮游戏某站SQL注入导致Getshell(几乎线上所有服务权限到手)

相关厂商:xiaopi.com

漏洞作者: mango

提交时间:2016-05-25 16:54

修复时间:2016-07-10 18:00

公开时间:2016-07-10 18:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-25: 细节已通知厂商并且等待厂商处理中
2016-05-26: 厂商已经确认,细节仅向厂商公开
2016-06-05: 细节向核心白帽子及相关领域专家公开
2016-06-15: 细节向普通白帽子公开
2016-06-25: 细节向实习白帽子公开
2016-07-10: 细节向公众公开

简要描述:

恩~~~ 不知道厂商送不送礼物啦

详细说明:

问题出在open.xiaopi.com/sdk/ajax/isemailexist/ post提交email

C5LG6WZABHWS1IZ%L@Q1Q)2.png


后来测试发现过滤了form 还是360websafe 没关系~
经过测试 发现换行注释就可以正常报错查询了

~P`_9]HZK4OENN{[[1EYQ$4.png


@7[{W]F2QKBF`ST0V6OS1_2.png


通过报错 找到一些邮箱密码
[email protected]
4bNE9qXVez4bNE9q

1_H6UVS05]NTOB2[{6ID9(A.jpg


因为是管理员帐号进入邮件管理

MU8VI@@X2[F4KOYZ8$WKF19.png


我看到pms项目管理账号 我就想是不是存在什么敏感文件呢~ 我就更改了密码进去看看

BU8W{BBWJKYBOHF(U@]HIGK.png


http://pms.xiaopi.com
通过邮件里面的用户 进行手工弱口令尝试(这些站点都有防护措施,不能动作太大)
后来发现大量弱口令 就不一一列举了

M(UFJ3T`S]%@AGTL@CSR1_F.png


准备通过 WooYun: 禅道漏洞第二弹后台读写任意文件/getshell 写入webshell
但是还不知道如何绕过
后来进过大量测试(花了我整整一天)!!发现可以提交一句话木马 但是提交后的主机立马被封IP但是其实是已经上传上去了,只要开个vpn就可以访问了
http://pms.xiaopi.com//www/data/upload/1.php 密码test

TF_K63OVO]_G[58S1X(BH03.png


2YGU`)ZON$ZCBB0K@2@@VGX.png


漏洞证明:

到服务器之后 我们来看看有啥吧~~

]Y5C2X`0J{90V[L993GOR[P.png


406WM{M]H9JH3QMQF6RF1RC.png


BEI5LGFR%RKV5[RZ8QJS~9G.png


PZ%WT$9%KJ0TVM_J[ANI5(C.png


){RFOC[4T40)D@HUHJV88XF.png


@OZAN50[BR[9`0U$`6FJ8XY.png


几乎所有备份

S@RSZ5G{Z$6@43C(OV()[(6.png


几乎所有线上服务

{@I]8WLPK1[81G%SZ3%~G5L.png


为了验证是否实现上服务我改了一个小txt
http://bbs.xiaopi.com/xx.txt

D)3IU~1GW0R8GU[A$~2``6D.png


这应该差不多了~~至于影响用户数据嘛、、、你们自己衡量吧~~

修复方案:

主要是我花费的时间太多了~ 可能是阿里云之类的原因~ 不过我要提醒的是 千万别认为防护软件就可以阻挡一切了。。。。慢慢来的话~依然可以撕开口子。 有礼物嘛~

版权声明:转载请注明来源 mango@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-26 17:55

厂商回复:

多谢对小皮游戏的关注,目前该漏洞已修复

最新状态:

暂无