中企动力设计缺陷

故事的发展是这样的,某某一天想撸一个目标,是中企动力cms的

存在http://**.**.**.**/bugs/wooyun-2015-0145311 该注入点

但很可惜是时间盲注点

select pwd from T_USERS

很可惜密码不是普通的md5加密 测试了好几个站点都破解不出来

接着发现一个表T_USER_PASSWORDRETRIEVE

看命名就能知道是密码找回验证表

http://**.**.**.**/manager/user.do?method=toFindPwd

随便找了一个站点

上面链接就是找回密码的链接但是我们并不知道发往邮箱的链接的方法名 method

爆破method参数值无果

......

省略各种折腾

......

4天时间过去后

去官方溜达发现了一个很低级很严重的漏洞

购买过中企动力产品的客户可以去

http://**.**.**.**/MemberCenter/certification/toCertification 这里根据信息注册会员以更加方便的管理自己的站点 但是大部分客户并没有去注册 接下来就看如何伪造其他客户去注册

输入客户全名

这里有网站和域名两种验证 网站验证需要后台密码 所以这里用域名验证

完整域名 相信很easy了吧 还有貌似域名校验是在前台完成的 所以这里基本不成障碍

然后点击获取验证码

改为自己的邮箱

成功获取到验证码

然后绑定个手机号就可以了 这里我用了阿里小号

成功注册

然后登录进去后 找回网站管理密码

然后又发现一个越权漏洞

http://**.**.**.**/MemberCenter/home/domainNameResolutionHtml?domainName=**.**.**.**

dns解析配置

越权访问其他域名

结果就是可越权修改几万客户的dns配置 导致域名劫持

接下来就是以管理员身份登录后台并 再添加一个管理员邮箱写自己的邮箱

然后退出来找回密码用自己的邮箱 接着去邮箱拿到用来重置密码的URL

method参数值拿到 还需要id和mes值 这两个值T_USER_PASSWORDRETRIEVE 在这个表里就有

测试了百度谷歌搜索出来的站点 测试过的都可以时间盲注

接下来就是 --sql-shell 然后

1 select name from T_USERS

拿到邮箱地址 重置密码

2 select id from T_USER_PASSWORDRETRIEVE

3 select mes from T_USER_PASSWORDRETRIEVE

然后拼接 /manager/user.do?method=doGetPwdNew&id=***&mes=*** 重置密码进入后台

后台还有一处通用任意文件下载

已证明

你们懂的

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-03-10 11:24

厂商回复：

正在处理

最新状态：

暂无

1. 2016-03-10 10:15 | depycode ( 普通白帽子 | Rank:299 漏洞数:53 | 关注网络安全，提高技术！)

   1

   帅

   1# 回复此人

2. 2016-03-10 10:35 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

   1

   666

   2# 回复此人

3. 2016-03-10 10:52 | ucifer ( 普通白帽子 | Rank:231 漏洞数:74 | 萌萌哒~)

   1

   浩神转审计了，求带

   3# 回复此人

4. 2016-03-15 16:10 | 小葵 ( 实习白帽子 | Rank:84 漏洞数:11 | 我们是害虫，我们是害虫！)

   1

   围观一下。

   4# 回复此人

5. 2016-06-08 11:45 | 破童 ( 实习白帽子 | Rank:61 漏洞数:20 | Engout Security Team)

   0

   酷

   5# 回复此人

6. 2016-06-08 12:22 | Letgo ( 路人 | Rank:6 漏洞数:3 | one)

   0

   牛逼

   6# 回复此人

7. 2016-06-08 12:24 | 大志哥 ( 路人 | Rank:22 漏洞数:7 | @_@)

   0

   打码没打好

   7# 回复此人

8. 2016-06-08 19:15 | onpu ( 普通白帽子 | Rank:396 漏洞数:67 )

   0

   没有刀了？

   8# 回复此人