漏洞概要

缺陷编号: 2016-198157

漏洞标题: AppCan漏洞大礼包(AppCan弱口令\XSS\SQL注入\敏感文件泄露\弱口令\文件上传漏洞合集)

相关厂商: appcan.cn

漏洞作者: fzxcp3

提交时间: 2016-04-19 14:47

公开时间: 2016-04-24 14:50

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: [email protected]

Tags标签: XSS 弱口令 SQL 文件上传 敏感文件泄露


漏洞详情

披露状态:

2016-04-19: 细节已通知厂商并且等待厂商处理中
2016-04-19: 厂商已查看当前漏洞内容,细节仅向厂商公开
2016-04-24: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

AppCan弱口令、XSS、SQL注入、敏感文件泄露、弱口令、文件上传漏洞合集

详细说明:

测试自己写的discuz扫描工具健壮性的时候发现了一个备份文件http://bbs.appcan.cn//config/config_ucenter.php.bak

使用uc_key getshell失败,经测试已更改uckey.

继续检测,发现了一个疑似注入点http://edu.appcan.cn/train_detail_new.html?id=498

1.png



2.png



但是是时间盲注,跑数据太慢了,而且权限不高,接着寻找其他测试点

http://edu.appcan.cn/train_outline1.html?train_place=%3Cscript%3Ealert%281%29%3C/script%3E

在这个位置发现一个反射型xss

xss.png



可惜是反射基本上毫无意义.



然后尝试在google中搜索site:appcan.cn inurl:login

在返回结果中发现一个json数据,里面发现一个名字"张文帅"



在burp的请求历史中发现一个自动跳转的地址:

http://siteadm.appcan.cn/Daemon/appshow/listinterfaceById?status=1&typeid=82&rows=8&callback=jQuery19103505221238365238_1461031756517&_=1461031756518

直接访问http://siteadm.appcan/Daemon 跳转到后台登录地址

尝试各种弱密码皆失败.. 突然想起之前发现的”张文帅”, 打算尝试一下,使用zhangwenshuai,zhangws,zhangwens,zws等用户名, 最后使用用户名zws弱口令123456爆破成功!!

login.png



在后台看看有没有能提权的位置,找到一个图片上传点

尝试一下直接上传一句话,发现不能解析,上传图片一句话,还是解析失败,下载回来发现一句话被清除,应该是被二次渲染.找到未更改的地方再次添加一句话, 可惜还是失败..

接着找, 还发现有app上传地址,抓包,修改文件名,最终上传shell成功!!

漏洞证明:

shell.png

修复方案:

1、xss过滤' " < > ( )等字符

2、SQL注入使用预编译的方式

3、弱口令,更改密码

4、文件上传,把上传文件放到不可执行路径中,设置好权限

版权声明:转载请注明来源 乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-04-24 14:50

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2016-04-19 15:29 | y1ngz1 ( 路人 | Rank:23 漏洞数:5 | 一起交流,一起学习~ email:[email protected]..)
    3

    看成了 appscan

    1# 回复此人
  2. 2016-04-19 16:07 | j14n ( 普通白帽子 | Rank:2226 漏洞数:398 )
    0

    @y1ngz1 +1

    2# 回复此人
  3. 2016-04-19 17:51 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:208 | px1624)
    1

    看成了 appscan...

    3# 回复此人
  4. 2016-04-19 17:57 | Liuz5O69 ( 实习白帽子 | Rank:65 漏洞数:9 | 一个默默的学习者。)
    0

    还以为直接上传了某站的APPSCAN扫描结果。。。

    4# 回复此人
  5. 2016-04-25 06:48 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)
    0

    无影响厂商忽略

    5# 回复此人
  6. 2016-04-25 06:48 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)
    0

    无影响厂商忽略

    6# 回复此人
  7. 2016-04-25 06:53 | study_vul ( 实习白帽子 | Rank:62 漏洞数:9 | 我有乌云id了,我马上就要牛叉起来了)
    0

    牛了 叉

    7# 回复此人
  8. 2016-04-25 07:27 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)
    0

    @study_vul 楼上神牛

    8# 回复此人
  9. 2016-04-25 10:57 | study_vul ( 实习白帽子 | Rank:62 漏洞数:9 | 我有乌云id了,我马上就要牛叉起来了)
    0

    @Freebug 求带

    9# 回复此人
  10. 2016-04-25 14:14 | Freebug ( 普通白帽子 | Rank:110 漏洞数:39 | 流氓是一种高尚的职业!)
    0

    @study_vul 你带我

    10# 回复此人
  11. 2016-04-27 20:56 | study_vul ( 实习白帽子 | Rank:62 漏洞数:9 | 我有乌云id了,我马上就要牛叉起来了)
    0

    过来吧 带你

    11# 回复此人