皮皮精灵SQL注入可被上传WebShell

漏洞详情

披露状态:

2014-03-04: 细节已通知厂商并且等待厂商处理中
2014-03-04: 厂商已经确认,细节仅向厂商公开
2014-03-14: 细节向核心白帽子及相关领域专家公开
2014-03-24: 细节向普通白帽子公开
2014-04-03: 细节向实习白帽子公开
2014-04-18: 细节向公众公开

简要描述:

多低调的标题!

详细说明:

#1.主要是因为我曾经提交了一个漏洞: WooYun: 皮皮精灵XSS盲打后台导致多个管理员中枪 
然后厂商居然忽略了,后来厂商告诉我是因为春节没什么人值班,导致未确认而忽略了,于是乎我就在想,我一定要再给它找出一个漏洞来,然后看了一下皮皮精灵的漏洞史,看到了这个: WooYun: 皮皮精灵某站沦陷近500w用户信息面临泄漏风险 漏洞,仔细打开图片看看,是织梦的,并且后台没有打码,后台地址也没有改,后台地址是:
http://content.pp.cc/ctpanel/login.php

#2.突然想到前几天爆出了DEDECMS全版本通杀SQL注入,于是试试可不可以用,输入目录plus提示没有,但其实很多白帽子经常忽略,有时候一个网站提示正在建设,或者怎么的,但你要相信虽然网站提示暂停服务但不一定说明web文件已经移除。

02.jpg



然后借用工具直接爆出了所有管理员的密码,说明漏洞文件/plus/recommend.php是存在的
手工EXP:
http://content.pp.cc//plus/recommend.php?aid=1&_FILES[type][name]&_FILES[type][size]&_FILES[type][type]&_FILES[type][tmp_name]=aa\%27and+char(@`%27`)+/*!50000Union*/+/*!50000SeLect*/+1,2,3,group_concat(userid,0x23,pwd),5,6,7,8,9%20from%20`%23@__admin`%23

01.jpg



整理了一下,其中pader、七曜、sck339、dora、a1053355625、冰雨含柔、zhang001 这几个帐号的密码是可以破解的,织梦的MD5只要去掉前三位和后一位再拿去解密即可破解,并且冰雨含柔、zhang001这两位同学用的是同一个密码。

漏洞证明:

#3. 于是解密,然后发现pader的权限比其它的要大很多,核心配置都是可以查看的,其它的则无法查看,然后成功进入后台.

03.jpg



#4.虽然后台限制了很多,但是最后还是被我getshell了。

04.jpg



数据库我就不爆了,上面那个带馅儿馒头已经暴过了,并且数据库连接信息没有改。

修复方案:

PS:仅供测试,未动任何文件,未脱裤,白帽子是不会干这种事的,切勿跨省!建议如果不需要到/plus/recommend.php 可删除,并且加强各个管理员的密码安全,那什么密码pp2012,如果fuzzer起来完全可以爆破猜解到-_-

一般能得到shell的建议给20Rank,就当补补前面给你们提交了却忽略了的漏洞的分吧。

版权声明:转载请注明来源 U神@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-04 19:14

厂商回复:

我们还以为是黑客呢,当时感觉不是白帽子,不过既然是白帽子也就放心了。

十分感谢,DedeCMS 实在是一个令人头疼的问题,我们已经不再维护这个程序了,再仍然需要放在线上运行,这东西的渣架构也注定了漏洞满天飞。

PS:我们真的不是有意要忽略你上次发的漏洞,神啊(U神),请原谅。

最新状态:

暂无


漏洞评价: