漏洞详情

披露状态:

2013-12-29: 细节已通知厂商并且等待厂商处理中
2013-12-30: 厂商已经确认,细节仅向厂商公开
2014-01-02: 细节向第三方安全合作伙伴开放
2014-01-09: 细节向核心白帽子及相关领域专家公开
2014-01-19: 细节向普通白帽子公开
2014-02-08: 细节向实习白帽子公开
2014-03-29: 细节向公众公开

简要描述:

鲜果APP某处SQL注射导致分站getshell

详细说明:

首先,打开手机上的鲜果APP,在设置页面中检查更新,通过抓包我们发现了这么个请求

http://api.xianguo.com/i/views/version.json?key=36d979af3f6cecd87b89720d3284d420&udid=860755000000000&version=64&devicetype=5
(这里的udid是我手机的IMEI,所以替换了0)



用sqlmap跑一下,发现devicetype参数存在注入:

xianguo1.png



想看看user库发现太大了,而且我sqlmap的速度又慢,没办法,这时候我注意到了下面的wordpress库,看看里面的帐号和密码

--dump -C "user_login,user_pass" -T wp_users -D wordpress



xianguo2.png



md5只解出了xianguobook和market的密码,可是主站明显不是wordpress啊,这个难道是废弃的库?

百度一下 site:xianguo.com -inurl:www 可以搜到blog.xianguo.com这个站使用了wp,应该就是他没错了,从http://blog.xianguo.com/wp-login.php 登录后台,发现后台被改的几乎不能看了,许多地方都是404。

最终找到了修改文章的地方,发现可以上传图片

xianguo3.png



同时这个站还有nginx解析漏洞,于是上传了图片马,菜刀连接,成功getshell

xianguo4.png



xianguo5.png



xianguo6.png

漏洞证明:

如上。

数据库中还有很多表,我网速太慢看不来。

shell地址:

http://blog.xianguo.com/wp-content/uploads/2013/12/hello.jpg/.php

修复方案:

请尽快修复:)

版权声明:转载请注明来源 超威蓝猫@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-12-30 10:11

厂商回复:

感谢超威蓝猫的发现, 我们尽快修复

最新状态:

暂无


漏洞评价: