WDC前台getshell一枚

2015年4月20日02:17:18评论481 views字数 211阅读0分42秒阅读模式

摘要

2014-07-04：细节已通知厂商并且等待厂商处理中
2014-07-09：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-09-02：细节向核心白帽子及相关领域专家公开
2014-09-12：细节向普通白帽子公开
2014-09-22：细节向实习白帽子公开
2014-09-29：细节向公众公开

漏洞概要关注数(57) 关注此漏洞

缺陷编号： WooYun-2014-67447

漏洞标题： WDC前台getshell一枚

漏洞作者： Matt

提交时间： 2014-07-04 22:30

公开时间： 2014-09-29 22:32

漏洞类型：命令执行

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：淫荡思路

9人收藏

漏洞详情

披露状态：

简要描述：

广告位：codescan.cn
呵呵

详细说明：

mysql/add_user.php

code 区域

<?
 /*
 # WDlinux Control Panel, online management of Linux servers, virtual hosts
 # Author:wdlinux QQ:12571192
 # Url:http://**.**.**.**/wdcp
 # Last Updated 2011.03
 */
 
 require_once "../inc/common.inc.php";
 if (isset($_POST['Submit_add'])) {
  $user=chop($_POST['user']);
  $password=chop($_POST['password']);
  $dbname=chop($_POST['dbname']);
  check_user($user);
  check_string($password);
  check_string($dbname);
  create_db_user($user,$password,$host);
  grant_db_user($user,$host,$dbname);
  mysql_add_user($user,$password,$host,$dbname,$rtime);
  optlog($wdcdn_uid,"增加mysql数据库 $user",0,0);
  str_go_url("数据库用户增加成功!",0);
 }
 $member_list=member_list();
 $site_list=site_list();
 $db_list=db_list();
 require_once(G_T("mysql/add_user.htm"));
 ?>

这个文件没有验证权限（其实是验证的，不知道为什么被注释了）

那么我们可以利用这个添加一个mysql的账户

但是不能外连，只能localhost，貌似没什么用

database可以抓包篡改的

观众：这又个jB用

别急，朋友

wdcp下面有一个phpmyadmin

直接访问，http://xxx：8080/phpmyadmin

提示输入mysql账号密码

上面我们正好能加一个MySQL、用户

只需在加mysql用户的时候，把这个用户指定一个数据库即可，我们就可以登录phpmyadmin去读取这个数据库啦

观众：那也没吊用啊，除非你知道人家网站的数据库名称，鸡肋啊

淡定！

正好，wdcp有一个默认的数据库，就叫wdcp

呵呵，不用多说了，直接可以读取到wdcp的管理密码，ftp，mysql，所有的所有。。。

后面的就不多提了

漏洞证明：

我是四有青年

修复方案：

1,增加文件验证

2,根本的方法，就是，给8080增加一个401的认证，安装之后，后台提示设置，这样以后就万无一失了，改不改端口都无所谓，你改了端口人家能扫啊

这样双重认证安全多了

版权声明：转载请注明来源 Matt@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-29 22:32

厂商回复：

漏洞Rank：12 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-07-04 22:33 | zhxs ( 实习白帽子 | Rank:69 漏洞数:26 | 不是你不行、只是路不平ฏ๎๎๎๎๎๎๎๎...)

1

我端根板凳来坐着围观！

1# 回复此人
2014-07-05 00:07 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

1

mark一下

2# 回复此人
2014-07-05 00:13 | Haswell ( 普通白帽子 | Rank:182 漏洞数:19 | HorizonSec @ RDFZ)

1

马克，codescan.cn已牢记

3# 回复此人
2014-07-05 00:39 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

1

马克，codescan.cn已牢记

4# 回复此人
2014-07-05 14:02 | 爱小菜 ( 路人 | Rank:10 漏洞数:5 | 本人菜鸟一枚，努力学习天天向上！希望能让...)

0

马克，codescan.cn已牢记

5# 回复此人
2014-07-05 22:51 | y35u ( 普通白帽子 | Rank:364 漏洞数:38 | yesu)

0

求这个细节，重谢，请PM我

6# 回复此人
2014-07-05 23:14 | 三十度 ( 路人 | Rank:0 漏洞数:1 | 本屌精通各种花式撸管，装逼32式炉火纯青。...)

0

求这个细节，重谢，请PM我

7# 回复此人
2014-07-09 23:00 | 忆苦思甜 ( 实习白帽子 | Rank:65 漏洞数:25 )

0

@y35u DZ7.2

8# 回复此人
2014-07-09 23:00 | 忆苦思甜 ( 实习白帽子 | Rank:65 漏洞数:25 )

0

@三十度 DZ7.2

9# 回复此人
2014-07-10 11:33 | z7y丶 ( 路人 | Rank:4 漏洞数:1 | 我是z7y的表弟)

0

马克，codescan.cn已牢记

10# 回复此人
2014-08-17 00:22 | ′ 雨。 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)

0

require_once "../inc/common.inc.php"; require_once "../login.php"; //require_once "../inc/admlogin.php"; //if ($wdcp_gid!=1) exit; if (isset($_POST['Submit_add'])) { $user=chop($_POST['user']); $sid=intval($_POST['sid']); 为毛我之前的版本都 require_once "../login.php";了。

11# 回复此人
2014-09-13 11:05 | 默秒全 ( 路人 | Rank:2 漏洞数:3 | a....)

0

不是叫wdcpdb么←_←

12# 回复此人
2014-09-19 21:58 | 江南的鱼 ( 普通白帽子 | Rank:137 漏洞数:15 | 天生庸才！)

1

哦，我8月初就用此漏洞拿过一站。还以为没人发现呢！

13# 回复此人
2014-09-20 01:06 | Sunshine ( 实习白帽子 | Rank:51 漏洞数:10 | Nothing.)

0

@江南的鱼大牛你手里到底有多少0day

14# 回复此人
2014-09-29 22:58 | 实习白帽子 ( 路人 | Rank:27 漏洞数:5 | 我是一个很短的介绍.)

0

http://www.wdlinux.cn/bbs/thread-37476-1-1.html 忽略然后自己修复？

15# 回复此人
2014-09-30 09:56 | 宝宝 ( 普通白帽子 | Rank:127 漏洞数:34 | 我是好宝宝)

0

刚发现某个比较大的IDC商，全部用的是wdcp的虚拟主机，这下他们技术国庆要加班了......

16# 回复此人
2014-11-03 17:54 | hack2012 ( 实习白帽子 | Rank:31 漏洞数:3 | 关注信息安全 http://www.waitalone.cn/)

0

大牛，源码是如何解密的？

17# 回复此人

漏洞概要 关注数(57) 关注此漏洞