当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-010418

漏洞标题:电信弹窗服务器反渗透

相关厂商:中国电信

漏洞作者: ADM

提交时间:2012-08-01 12:00

修复时间:2012-09-15 12:01

公开时间:2012-09-15 12:01

漏洞类型:成功的入侵事件

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-08-01: 细节已通知厂商并且等待厂商处理中
2012-08-06: 厂商已经确认,细节仅向厂商公开
2012-08-16: 细节向核心白帽子及相关领域专家公开
2012-08-26: 细节向普通白帽子公开
2012-09-05: 细节向实习白帽子公开
2012-09-15: 细节向公众公开

简要描述:

东方热线分站,控制服务器,渗透内网,有可能导致服务器数据库外泄!

详细说明:

近段时间饱受电信恶意弹窗之扰,某日在不堪其扰之下对弹窗网站进行了渗透测试,通过域名查询得知是东方热线,由于目标站点是静态页面无从下手,通过旁注查询到同服务器IP其他网站,于是用目录扫描工具对同IP网站进行目录扫描,在扫描到某分站时发现fckeditor编辑器,并且发现之前已经被入侵者入侵后留下的webshell,首先尝试编辑器上传漏洞,经过多次测试发现编辑器漏洞已被修复,于是尝试弱口令成功进入其中一个webshell,通过前者留下的webshell上传本人自己的webshell,由于网站是aspx,通过IIS侦探取得服务器上所有网站路径,由于服务器权限没经过严格过滤导致可以访问各个网站的目录,通过查询数据库配置文件取得所有网站数据库权限,并且确定网站数据库是同C段一台服务器,执行whomai命令得到nt authority\network service,由于之前入侵者已经传好溢出工具直接执行得到administrator权限用户,服务器开启3389直接登录。由于登录之后被管理员发现所以没有进一步的检测!

漏洞证明:

http://3g.cnool.net/m/root.txt

修复方案:

严格设置服务器权限,即时修复web漏洞。

版权声明:转载请注明来源 ADM@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-08-06 08:14

厂商回复:

CNVD确认漏洞情况(未全部复现),转由CNCERT协调中国电信集团公司处置。
rank 10

最新状态:

暂无

漏洞评价:

评论

  1. 2012-08-01 12:52 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    弹窗老尼玛烦了,乌云这么干净的站点都出广告

  2. 2012-08-04 20:36 | Sunshine ( 实习白帽子 | Rank:51 漏洞数:10 | Nothing.)

    @xsser不敢吧,乌云也有??手机党没发现啊。

  3. 2012-08-04 20:57 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Sunshine 嗯 逆天啊

  4. 2012-09-10 16:42 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    求搞联通的京城时讯……强X页面弹窗弹到死啊有木有!

  5. 2012-09-15 12:49 | Xhm1n9 ( 实习白帽子 | Rank:57 漏洞数:13 | bug)

    强奸一回电信不为过!

  6. 2012-09-15 13:17 | LaTCue ( 普通白帽子 | Rank:105 漏洞数:27 | 满脑子的艺术细菌,当然,是人体艺术。)

    好吧 好像是我搞过 是我删了fckeditor利用文件...还留了sethc后门...

  7. 2012-09-15 13:20 | LaTCue ( 普通白帽子 | Rank:105 漏洞数:27 | 满脑子的艺术细菌,当然,是人体艺术。)

    我搞他也是因为电信弹窗 我擦....

  8. 2012-09-15 16:48 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    看到cnool,哈。宁波的?N久前还去那里看电影,现在。。。

  9. 2012-09-18 23:11 | ADM ( 路人 | Rank:10 漏洞数:1 | 热爱技术!)

    @LaTCue 请问你的webshell在什么目录!

  10. 2012-09-18 23:11 | ADM ( 路人 | Rank:10 漏洞数:1 | 热爱技术!)

    @popok 是的!莫非你也是?

  11. 2012-09-19 01:07 | LaTCue ( 普通白帽子 | Rank:105 漏洞数:27 | 满脑子的艺术细菌,当然,是人体艺术。)

    @ADM http://3g.cnool.net/common/editor/FCKeditor/editor/lang/这个目录...好吧 在这贴发了回复后发现sethc后门被删了

  12. 2012-09-19 02:02 | popok ( 普通白帽子 | Rank:117 漏洞数:24 | nothing)

    @ADM 看来是老乡~

  13. 2012-09-20 22:20 | ADM ( 路人 | Rank:10 漏洞数:1 | 热爱技术!)

    @LaTCue - -!!!!好吧!没事,会回来的!

  14. 2012-09-20 22:22 | ADM ( 路人 | Rank:10 漏洞数:1 | 热爱技术!)

    @LaTCue 其实太操蛋了,我最多的时候打开一次浏览器弹一次!广告太恶心了,投诉过也没什么用!绑架用户~

  15. 2012-09-20 23:29 | LaTCue ( 普通白帽子 | Rank:105 漏洞数:27 | 满脑子的艺术细菌,当然,是人体艺术。)

    @ADM 是啊 真操蛋 我是余姚的