精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

Srun3000计费系统任意文件下载漏洞(直接获取管理密码)

2015-01-20 11:41 来源: 编辑:admin

Srun3000计费系统任意文件下载漏洞[无需登录]

版本:版本 Srun3000 [3.00rc14.17.4]


使用量还是相当多的,主要为各大高校:(

url不列出来了,太暴力,怕自己学校的也被爆。

1.任意文件下载漏洞

漏洞文件

/srun3/srun/services/modules/login/controller/login_controller.php

代码
 

/**
     * 下载一个文件
     *
     */
    // 此处存在任意文件下载漏洞--fuck
    public function download(){
        global $file;
        $this->model->download_file($file);
    }



download_file文件路径为

/srun3/srun/services/modules/modules.php

代码为
 

/**
     * 下载一个文件
     *
     * @param unknown_type $file            
     */
    public function download_file($file) {
        if (file_exists ( $file )) {
            $this_base_file = basename ( $file );
            header ( "Content-type:application/octet-stream" );
            header ( "Accept-Ranges: bytes" );
            header ( "Accept-Length: " . filesize ( $file ) );
            header ( "Content-Disposition: attachment; filename=\"" . $this_base_file . "\"" );
            readfile ( $file );
        }
    }



简单粗暴的任意文件下载漏洞,$file是用户可控的,在global.php里注册变量

此处下载其配置文件


/srun3/etc/srun.conf如图
 

aaa.png



下载/etc/passwd 如图
 

pass.png



结果
 

result.png



然后,对srun3000的系统进行大致的说明

系统默认端口为8800,对应的web路径为/srun3/srun/services/

端口为8080的对应web路径为/srun3/srun/web/

端口为8081的对应的web路径为/srun3/srun/system/[全是洞。。。]

端口为80的对应的web路径为/srun3/web/

/srun3/srun/services/为学生登录查看自己的个人信息,个人上网记录等,其数据库密码加密方式为密码md5然后从第9位开始取16位,数据库表为user

/srun3/srun/web/ 对应的管理员对用户的管理 ,其数据库密码加密方式为密码md5,对应的数据库表为sysmgr 有两个帐号admin密码admin support

登录地址为http://xxoo:8080/

/srun3/srun/system/对应的管理员对服务器的管理,其密码加密方式为md5.js加密的,而其存放位置即系统的位置/srun3/etc/srun.conf文件里

登录地址为http://xxoo:8081/login.php

/srun3/srun/web/应该为综合web网关入口页面,



下载后的文件,srun.conf里的密码是md5加密的,破解后可以直接登录,如图
 

hah.jpg



登录后拿shell就很容易了,随便来一处命令执行即可,获得shell如图
 

wa.jpg

修复方案:

用户可控的变量太多

标签
你喜欢的文章
返回首页
扫描微信
返回顶部