当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026232

漏洞标题:我是如何沦陷ChinaZ下载站服务器的,可登录3389、篡改源码等

相关厂商:站长之家

漏洞作者: 牛奶坦克

提交时间:2013-06-18 15:24

修复时间:2013-06-23 15:24

公开时间:2013-06-23 15:24

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-18: 细节已通知厂商并且等待厂商处理中
2013-06-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

测试的源头来自我很好奇为啥Chinaz上的源码总是可能被人放后门,源码下载站的安全情况到底如何?
测试结果:
从最开始某个漏洞Down掉了chinaz下载站的整站源码(down.chinaz.com),然后打开的第一个文件就发现了一处由于理解问题导致的安全漏洞。。。最终获取了服务器管理员权限,找到修改后的3389端口,成功登录远程服务器!
PS:具体看细节吧,源码包篡改什么你们懂。。厂商速度处理,很严重。
PS2:几个测试文件和帐号都已经清理,现在网站和服务器依然纯洁。

详细说明:

从chinaz主站的网段中找到了一台服务器,这台服务器开了rsync,而且匿名即可访问与下载(后来证明这台服务器就是down的服务器)。

c0.png


排除了一些静态文件目录,导出一些ASP的脚本文件,看web.config,有数据库密码信息

c0.1.png


发现有个“zczamzk”目录,是个奇怪的后台,看样子功能强大

c0.2.png


但没密码,准备挖挖源码看看有漏洞木,结果打开的第一个文件就发现有问题:

action = Replace(Trim(Request.QueryString("action")),"'","")
articleid = Replace(Trim(Request.QueryString("articleid")),"'","")
typee = Replace(Trim(Request.QueryString("typee")),"'","")
if action="show" then
	  set rs=server.createobject("adodb.recordset")
	  sql="Select * From DP_Mood Where articleid="&articleid&""
      rs.open sql,conn,1,3
	  If Not(rs.Eof And rs.Bof) Then


articleid看似做了处理,是针对字符型变量的过滤,但是下面真正的语句是整形的,呵,可以注射
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=1
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=2
懒人用sqlmap跑。。(dbo.DP_Administrator:adminname,adminpassword)

c0.3.png


md5给秒破了,成功登录到后台

c1.png


c1.1.png


源码下载服务器等

c1.3.png

漏洞证明:

拿shell吧,有个很常见的文章管理功能,上传文件,这里尝试了几次,只拿可行的检测结果证明,只需上传个名为”1.asp;.zip“的文件,利用IIS解析漏洞即可。

c1.2.png


写个.net大马进去,哦了

c2.png


用了个最新的Windows提权程序,秒了服务器管理员权限

c3.png


c4.png


(怕其他人发现这个账户,测试完就给删除了)
最后做个简单的小证明吧:http://down.chinaz.com/wooyun.txt

c5.png

修复方案:

都在细节里了

版权声明:转载请注明来源 牛奶坦克@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-23 15:24

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-18 15:25 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    我似乎知道那些源码包里的后门是咋上去的了。。。

  2. 2013-06-18 15:27 | 梧桐雨 认证白帽子 ( 核心白帽子 | Rank:1576 漏洞数:184 | 关注技术与网络安全)

    你好,牛奶

  3. 2013-06-18 15:29 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:20 | 晚安,牛奶)

    @梧桐雨 你好, 梧桐雨

  4. 2013-06-18 15:42 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    大神

  5. 2013-06-18 16:36 | 坏人咖啡 ( 实习白帽子 | Rank:55 漏洞数:4 | 做一个简简单单的坏人)

    洞主牛B

  6. 2013-06-18 16:38 | X,D ( 普通白帽子 | Rank:143 漏洞数:7 | X,D)

    他们还玩3389呢?

  7. 2013-06-18 17:05 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @X,D 被他改成3389了吧!

  8. 2013-06-18 18:59 | 基佬库克 ( 实习白帽子 | Rank:75 漏洞数:15 | 简介什么的是直接爆菊吧..)

    站长网这么悲惨..同情一下

  9. 2013-06-18 22:02 | txcbg ( 普通白帽子 | Rank:391 漏洞数:53 | 说点什么呢?)

    围观

  10. 2013-06-19 22:44 | ( 路人 | Rank:14 漏洞数:4 | 小夜,一个苦逼程序员)

    貌似老衲也经常在上面下载啊!

  11. 2013-06-23 16:27 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:146 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @疯狗 猜测依据是?

  12. 2013-06-23 16:46 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    霸气的忽略

  13. 2013-06-23 17:03 | 纠结师 ( 实习白帽子 | Rank:53 漏洞数:12 | 传说中的废材)

    幸好忽略了。。。 不然又不知道得罪多少人的了。、。

  14. 2013-06-23 20:08 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @纠结师 此话怎讲啊?

  15. 2013-06-24 11:18 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:170 | 力不从心)

    忽略?!

  16. 2013-06-24 12:01 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @wefgod 目测厂商已经得知漏洞细节并忽略,哎,乌云给补分。。。

  17. 2013-06-24 16:08 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    叫人情何以堪啊!忽略!

  18. 2013-06-24 16:25 | X,D ( 普通白帽子 | Rank:143 漏洞数:7 | X,D)

    忽略了?这是什么节奏?

  19. 2013-06-24 18:10 | 牛奶坦克 ( 普通白帽子 | Rank:355 漏洞数:20 | 晚安,牛奶)

    @X,D 害羞的节奏,大乌云已经给我补分了,感谢

  20. 2013-06-24 18:58 | X,D ( 普通白帽子 | Rank:143 漏洞数:7 | X,D)

    其实我最喜欢点忽略的厂商。

  21. 2013-06-25 22:50 | if、so 认证白帽子 ( 核心白帽子 | Rank:1008 漏洞数:88 | 梦想还是要有的,万一实现了呢?)

    @牛奶坦克 洞主分享下那个提权exp

  22. 2013-07-02 10:36 | saber ( 路人 | Rank:8 漏洞数:1 | 我只是一个人走了太久,久到习惯了一个人。)

    @疯狗 真相了。。

  23. 2013-07-02 10:47 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @if、so 作者分享了,可见 http://zone.wooyun.org/content/4730

  24. 2013-07-26 09:28 | 小震 ( 路人 | Rank:8 漏洞数:3 | ~)

    危害等级:无影响厂商忽略

  25. 2013-11-26 08:45 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:64 | 大胆天下去得,小心寸步难行。)

    好厉害!

  26. 2014-01-08 23:15 | 蓝盾科技 ( 实习白帽子 | Rank:90 漏洞数:16 | 蓝盾科技致力于网络安全,信息安全,通信安...)

    @灬相随灬 熊熊可知道我在找你

  27. 2015-02-03 10:30 | __Happy ( 路人 | Rank:0 漏洞数:1 | xxxx)

    rsync x.x.x.x::www我成功进入后,要怎么下载里面的东西?求教啊!!

  28. 2015-02-03 11:35 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:64 | 大胆天下去得,小心寸步难行。)

    @蓝盾科技 我去!你谁啊,干嘛找我

  29. 2015-05-08 16:03 | Ras Al Ghul ( 路人 | Rank:12 漏洞数:4 | 不可知论主义者)

    好强