当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-012277

漏洞标题:对某门户的简单检测过程

相关厂商:某门户

漏洞作者: Aepl│恋爱

提交时间:2012-09-16 21:59

修复时间:2012-09-16 21:59

公开时间:2012-09-16 21:59

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-09-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-09-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

基础设施运维不当,弱口令导致网站及服务器沦陷

详细说明:

目标站xx.gov.com
首先到目标站看一眼程序源码


随便翻了几个页面 一眼看出程序是PHP的
习惯性动作 查看首页源代码 很熟悉了 织梦的系统~呵呵


看到是织梦的系统了,脑子里瞬间闪现出的就是织梦的默认版本号txt
/data/admin/ver.txt 这个就是织梦版本号默认文件了,额 其实也不是版本号 就是一个年份
我们来访问看看~


正常访问,没错了~我猜的没错 这就是织梦,但是一看到年份我蛋疼了 这个年份在我的印象里貌似没什么Exp可用。
然后我就去找找看,发现确实没有可利用的Exp..... 先不管它有没有对应的Exp 还是要试试的 就拿上次朋友爆过的那个Exp试试先~
查看管理员帐号
/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`



居然爆到了用户名 看样子有戏哦~那就继续爆下密码~~
查看管理员密码
/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@


很显然,不行.....额。。杂就那么悲剧呢~
再想想办法! 没Exp难道就不活了么?
扫目录吧~ 就拿内部版的破壳扫扫先~ 然后接着wwwsan一起扫,希望能获得一些有用的信息~


通过扫描 得到以上信息~
我挨个点了下看看


报错页面直接爆出物理路径~也爆出了服务器的iis信息为IIS7.5
接着往下继续点了点 等我点到了bbs/admin/这里 出现了一个论坛后台


这就是动网先锋论坛系统啊 先到论坛的前台看看去先~~


尼玛!。。。挑衅我? 一个全新的论坛系统,那意思就是.........管理员可能连密码都没有改哦
去抱着试试看的心情试了下。


admin admin888 输入验证码回车~

进去了~ 呵呵


下面就来拿shell吧,以前没拿过动易的论坛 呵呵 新手-接触的少,大神们别耻笑俺,翻了翻后台的功能 先去看的编辑器,一向后台我第一去看的就是编辑器了。
额。。。找了一会,在后台我居然没找到发表文章的地方 又回去扫描器看了下扫描的结果 得到了
http://www.xx.gov.cn/bbs/Admin/Label.asp?do=edit_label&realdo=edit&file=besttopic.tpl&folder=/Dv/


研究下了这编辑器.......无果~.....囧
再去看看别的页面功能吧~
然后就发现了版面管理这个功能模块,进到版面管理-版面(分类)管理 找了个默认的版面


点击高级设置进去-


往下拉 看到了上传附件类型设置


就添加了几个常用的文件类型 然后去前台新注册个用户 上传附件
经过上传测试asp和asa还有ashx不能上传,报错为上传类型错误,在后台设置了还是不行。那就上传aspx试下,直接传了个aspx的小马上传,上传之后回到后台 到上传文件管理里面去查看刚刚上传的文件


明明上传了的 却找不到文件 很是郁闷。。。
那就再传个PHP试下吧,



菜刀连接试试~


成功连接~
服务器类型为全能空间 支持asp .net php 万网服务器
太困了 凌晨6点就写笔记..还没睡纳!先不提权了 没什么技术含量,大神们不要耻笑鸟蛋的俺.....
2012年9月16日 06:02:41
by:Aepl│恋爱

漏洞证明:

后台弱口令/后台上传类型可设置

修复方案:

修补弱口令/限制上传类型

版权声明:转载请注明来源 Aepl│恋爱@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2012-09-16 22:03 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    配的图 很有爱。。。。。

  2. 2012-09-16 22:18 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    凌晨6点,真的不容易,排版工整,内容详实.

  3. 2012-09-16 22:20 | 邪少 ( 实习白帽子 | Rank:58 漏洞数:7 )

    真详细 求Q

  4. 2012-09-17 08:15 | j14n ( 普通白帽子 | Rank:114 漏洞数:23 | 我是一只小小小小鸟....)

    楼主可以 做讲师了 哈哈

  5. 2012-09-17 08:53 | 苦战 ( 路人 | Rank:5 漏洞数:4 | 人称苦战?乃南方蛮荒之人!相平,谓正不如...)

    完全是拼RP啊·

  6. 2012-09-17 09:56 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    凌晨6点 膜拜

  7. 2012-09-17 12:41 | 阿普 ( 实习白帽子 | Rank:36 漏洞数:3 | NFT小组成员)

    人类是无法阻止,织梦程序的。没有织梦,就没有黑客。恋爱,我来顶一个。

  8. 2012-09-18 09:28 | saline ( 普通白帽子 | Rank:231 漏洞数:32 | Focus On Web Secur1ty)

    漏点严重哇~