Srun3000计费系统任意文件下载 漏洞 [无需登录]
版本:版本 Srun3000 [3.00rc14.17.4]使用量还是相当多的,主要为各大高校:( url不列出来了,太暴力,怕自己学校的也被爆。 1.任意文件 下载 漏洞 漏洞文件 /srun3/srun/services/modules/login/controller/login_controller.php 代码
/** * 下载一个文件 * */ // 此处存在任意文件下载漏洞--fuck public function download(){ global $file; $this->model->download_file($file); }download_file文件路径为 /srun3/srun/services/modules/modules.php 代码为
/** * 下载一个文件 * * @param unknown_type $file */ public function download_file($file) { if (file_exists ( $file )) { $this_base_file = basename ( $file ); header ( "Content-type:application/octet-stream" ); header ( "Accept-Ranges: bytes" ); header ( "Accept-Length: " . filesize ( $file ) ); header ( "Content-Disposition: attachment; filename=\"" . $this_base_file . "\"" ); readfile ( $file ); } }简单粗暴的任意文件下载漏洞,$file是用户可控的,在global.php里注册变量 此处下载其配置文件
/srun3/etc/srun.conf如图
下载/etc/passwd 如图
结果
然后,对srun3000的系统进行大致的说明 系统默认端口为8800,对应的web路径为/srun3/srun/services/ 端口为8080的对应web路径为/srun3/srun/web/ 端口为8081的对应的web路径为/srun3/srun/system/[全是洞。。。] 端口为80的对应的web路径为/srun3/web/ /srun3/srun/services/为学生登录查看自己的个人信息,个人上网记录等,其 数据库 密码加密方式为密码md5然后从第9位开始取16位,数据库表为user /srun3/srun/web/ 对应的管理员对用户的管理 ,其数据库密码加密方式为密码md5,对应的数据库表为sysmgr 有两个帐号admin密码admin support 登录地址为http://xxoo:8080/ /srun3/srun/system/对应的管理员对服务器的管理,其密码加密方式为md5.js加密的,而其存放位置即系统的位置/srun3/etc/srun.conf文件里 登录地址为http://xxoo:8081/login.php /srun3/srun/web/应该为综合web网关入口页面, 下载后的文件,srun.conf里的密码是md5加密的, 破解 后可以直接登录,如图
登录后拿shell就很容易了,随便来一处命令执行即可,获得shell如图
修复方案:
用户可控的变量太多
查看更多关于Srun3000计费系统任意文件下载漏洞(直接获取管理的详细内容...