Srun3000计费系统任意文件下载漏洞[无需登录]

版本：版本 Srun3000 [3.00rc14.17.4]

使用量还是相当多的，主要为各大高校:(

url不列出来了，太暴力，怕自己学校的也被爆。

1.任意文件下载漏洞

漏洞文件

/srun3/srun/services/modules/login/controller/login_controller.php

代码
 

/**
     * 下载一个文件
     *
     */
    // 此处存在任意文件下载漏洞--fuck
    public function download(){
        global $file;
        $this->model->download_file($file);
    }

download_file文件路径为

/srun3/srun/services/modules/modules.php

代码为
 

/**
     * 下载一个文件
     *
     * @param unknown_type $file            
     */
    public function download_file($file) {
        if (file_exists ( $file )) {
            $this_base_file = basename ( $file );
            header ( "Content-type:application/octet-stream" );
            header ( "Accept-Ranges: bytes" );
            header ( "Accept-Length: " . filesize ( $file ) );
            header ( "Content-Disposition: attachment; filename=\"" . $this_base_file . "\"" );
            readfile ( $file );
        }
    }

简单粗暴的任意文件下载漏洞，$file是用户可控的，在global.php里注册变量

此处下载其配置文件

/srun3/etc/srun.conf如图
 

下载/etc/passwd 如图
 

结果
 

然后，对srun3000的系统进行大致的说明

系统默认端口为8800，对应的web路径为/srun3/srun/services/

端口为8080的对应web路径为/srun3/srun/web/

端口为8081的对应的web路径为/srun3/srun/system/[全是洞。。。]

端口为80的对应的web路径为/srun3/web/

/srun3/srun/services/为学生登录查看自己的个人信息，个人上网记录等，其数据库密码加密方式为密码md5然后从第9位开始取16位，数据库表为user

/srun3/srun/web/ 对应的管理员对用户的管理 ，其数据库密码加密方式为密码md5，对应的数据库表为sysmgr 有两个帐号admin密码admin support

登录地址为http://xxoo:8080/

/srun3/srun/system/对应的管理员对服务器的管理，其密码加密方式为md5.js加密的，而其存放位置即系统的位置/srun3/etc/srun.conf文件里

登录地址为http://xxoo:8081/login.php

/srun3/srun/web/应该为综合web网关入口页面，



下载后的文件，srun.conf里的密码是md5加密的，破解后可以直接登录，如图
 

登录后拿shell就很容易了，随便来一处命令执行即可，获得shell如图
 

修复方案：

用户可控的变量太多