漏洞详情

披露状态:

2014-07-26: 细节已通知厂商并且等待厂商处理中
2014-07-28: 厂商已经确认,细节仅向厂商公开
2014-07-31: 细节向第三方安全合作伙伴开放
2014-09-21: 细节向核心白帽子及相关领域专家公开
2014-10-01: 细节向普通白帽子公开
2014-10-11: 细节向实习白帽子公开
2014-10-24: 细节向公众公开

简要描述:

根据《乌云漏洞章程》第一章第十六条规定:对于非开源系统,已证明用户量足够大、漏洞危害影响大或者多个高危漏洞打包的应当给与前台首页显示。

详细说明:

#1.通用系统的介绍,该系统的information_schema表不存在,只能猜解咯~
Keyword 1:

02.jpg


Keyword 2:

01.jpg


keyword 3:

24.jpg


#2.注入点打包集合:

1、topic.php?channelID=**&topicID=**  注入参数:channelID、topicID
2、topic.php?action=news&channelID=***&topicID=***&newsTime=***&newsID=** 注入参数:newsID、channelID、topicID
3、index.php?hostID=** 注入参数:hostID
4、search.php?hostID= 注入参数:hostID
5、channel.php?channelID= 注入参数:channelID
6、/includes/js_info_list.php?channelID=**&topicID=***&num=*** 全部参数注入
等等

漏洞证明:

【声明:以下案例仅供CNVD、CNcert安全测试,其它人不得加以利用或恶意破坏,否则后果自负】
#3.注入点证明:<管理员表名:cms_user,管理员字段:username、password等>
报错都是这个样子滴:

04.jpg


1.注入点一证明:

http://www.d***n.com/topic.php?channelID=13&topicID=45
http://www.w***m.net.cn/topic.php?channelID=19&topicID=2
http://www.***.com/topic.php?channelID=4&topicID=481
等等


03.jpg


05.jpg


07.jpg


2.注入点二证明:

http://www.k***63.com/topic.php?action=news&channelID=1&topicID=25&newsID=76
http://www.j***hina.com.cn/topic.php?action=news&channelID=40&topicID=228&newsID=526
http://www.w***g.com/topic.php?action=news&channelID=30&topicID=150&newsID=107
等等


06.jpg


08.jpg


10.jpg


3.注入三证明:

http://www.yh***.com/index.php?hostID=1
http://www.qia***da.com/index.php?hostID=3
http://www.s***z.com/index.php?hostID=2
等等


11.jpg


12.jpg


13.jpg


4.注入点四证明:

http://www.hk***c.com.cn/search.php?hostID=1
http://www.h***i.com/search.php?hostID=2
等等


14.jpg


15.jpg


5.注入点五证明:

http://www.w***m.cn/channel.php?channelID=9
http://www.z***ho***g.com.cn/EN/channel.php?channelID=8&topicID=16
http://bk.gz***s.edu.cn/channel.php?channelID=
等等


16.jpg


17.jpg


6.注入点六证明:

http://www.i***du.gov.cn/includes/js_info_list.php?topicID=129&css=4&length=30&num=7
http://www.yh***na.com/includes/js_info_list.php?channelID=2&topicID=1,55,56,44&num=15
等等


18.jpg


19.jpg


20.jpg


#4.后台getshell方法:
后天默认地址是/manager/,在后台添加产品的地方添加一个shell,然后抓包,将类型改成“Content-Type: image/jpeg”成功获得shell。

25.jpg


26.jpg


前台右击图片可以获取shell地址:

27.jpg


#5.高危弱口令:
该系统后台目录之下存在一个3.8 PHP版本的Ewebeditor编辑器,该编辑器存在严重弱口令可导致修改配置拿Webshell

位置:manager/ewebeditor/admin/default.php   弱口令:adminadmin   或teamtop	eamtop


弱口令证明:

http://www.8***22.com/manager/ewebeditor/admin/default.php


21.jpg


22.jpg


23.jpg


http://www.***nia.cn/manager/ewebeditor/admin/default.php


28.jpg


http://www.b***.com.cn/manager/ewebeditor/admin/default.php


30.jpg


29.jpg

修复方案:

危害很大怎么破?

标签: none

评论已关闭