浙江在线某网站从一个失效的cookies到获取superadmin权限

编号215297
Urlhttp://www.wooyun.org/bug.php?action=view&id=215297
漏洞状态厂商已经确认
漏洞标题浙江在线某网站从一个失效的cookies到获取superadmin权限
漏洞类型成功的入侵事件
厂商zjol.com.cn
白帽子路人甲
提交日期2016-06-02 07:37:00
公开日期2016-07-17 10:00:00
修复时间(not set)
确认时间2016-06-02 00:00:00
Confirm Spend0
漏洞标签webshell 渗透测试思路 管理后台对外 安全意识不足 后台被猜解 webshell 渗透测试思路 安全意识不足 webshell
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank6
漏洞简介
祝大家儿童节快乐!
漏洞细节

http://xinpan.zzhz.zjol.com.cn/djgfczx/
现在这个页面我们成功打到了xss

location : http://xinpan.zzhz.zjol.com.cn/faqcont.zzhz?param=doSelect
toplocation : http://xinpan.zzhz.zjol.com.cn/images/faq/mian.html
cookie : vjuids=b7a9401a.1528b4515a1.0.3bdeed47; vjlast=1454035507.1454035507.30; Hm_lvt_47b427c7472d7f01efc813f8df2447cd=1455761485,1456129027; bdshare_firstime=1458893699507; __utma=82099293.139193550.1456711914.1456711914.1460962168.2; __utmz=82099293.1460962168.2.2.utmcsr=baidu|utmccn=(organic)|utmcmd=organic; zzhz_d7a0_lastvisit=1461648995; zzhz_d7a0_atarget=1; zzhz_d7a0_nofavfid=1; zzhz_d7a0_lastcheckfeed=934986%7C1461811287; zzhz_d7a0_ulastactivity=3ae7tuR5vjddzg%2BemRs8ITzy%2B0fuXGiGXBp%2B0Kp6i120UqqFx4AF; zzhz_d7a0_smile=2D1; zzhz_d7a0_connect_is_bind=0; zzhz_d7a0_visitedfid=2D1292D1483D1437D1438D1336D19D4D3D204; pgv_si=s2361259008; zzhz_d7a0_lastact=1462237360%09forum.php%09forumdisplay; zzhz_d7a0_forum_lastvisit=D_204_1461652615D_3_1461657934D_19_1461738674D_1336_1461740133D_1438_1461911924D_1292_1461922664D_1483_1461922665D_1437_1461922666D_2_1462237360; zzhz_d7a0_sid=plT1T9; pgv_pvi=3660055552; pgv_info=ssi=s446045750; Hm_lvt_419cfa1cc17e2e1dc6d4f431f8d19872=1461738680,1461740122,1461811275,1462237331; Hm_lpvt_419cfa1cc17e2e1dc6d4f431f8d19872=1462237580; Hm_lvt_91036d912cbaf466d51d3205758c884a=1461547460,1461566509,1461922502,1462237580; Hm_lpvt_91036d912cbaf466d51d3205758c884a=1462237580


我本身想用cookies欺骗工具登录一下的,但发现不知是有http-only还是什么,无法登录

http://xinpan.zzhz.zjol.com.cn/faqcont.zzhz


这个页面应该是做了映射不让外人找到,跳转到了主页,但他还有一个toplocation未授权访问,我喜欢。

http://xinpan.zzhz.zjol.com.cn/images/faq/mian.html


1.PNG


这边有一个退出我很喜欢,成功到达了登录界面。

http://xinpan.zzhz.zjol.com.cn/zjol/newhouse/admin/Admin_login.html


2.PNG


成功祭出我喜欢的弱口令“test/123456”
但登录进去感觉权限不够,orz.
突然又想到了刚刚那个界面:“http://xinpan.zzhz.zjol.com.cn/faqcont.zzhz?param=doSelect”不在我的菜单里,但可以访问,此时我想到了平行权限。

4.PNG


于是我猜到了一个页面:

http://xinpan.zzhz.zjol.com.cn/user.zzhz?param=doSelect


5.PNG


恩,找个有管理员身份的改个密码进去。

yejia  123456


成功进入!

POC

但感觉菜单还是不够全,怎么办。
不应怕,如下页面来助阵:

http://xinpan.zzhz.zjol.com.cn/submenu.zzhz?param=doSelect


把所有的菜单都列出来了,这下就爽了。

6.PNG


getshell那还不是分分钟的事

7.PNG

修复方案

你问我?
我还只是个孩子。

状态信息 2016-06-02: 细节已通知厂商并且等待厂商处理中
2016-06-02: 厂商已经确认,细节仅向厂商公开
2016-06-12: 细节向核心白帽子及相关领域专家公开
2016-06-22: 细节向普通白帽子公开
2016-07-02: 细节向实习白帽子公开
2016-07-17: 细节向公众公开
厂商回复非常感谢,我们尽快安排修补
回应信息危害等级:中漏洞Rank:6 确认时间:2016-06-02 09:53
Showing 1-3 of 3 items.
评论内容评论人点赞数评论时间

@HackBraid 额 当事的确下面一个是图书馆的 这是我的漏洞 QQAQ

Code Life02016-06-12 17:50:00

真会猜。。。

HackBraid02016-06-12 16:20:00

此洞与下面图书馆漏洞是一家,互相关注靠大家!我的儿童节礼物呢?

Code Life02016-06-02 09:32:00