漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-028115
漏洞标题:江西省吉安市卫生局网站存在多枚CMS漏洞及旁站风险
相关厂商:江西省某市卫生局
漏洞作者: JXISTEC
提交时间:2013-07-08 12:07
修复时间:2013-08-22 12:07
公开时间:2013-08-22 12:07
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-07-08: 细节已通知厂商并且等待厂商处理中
2013-07-12: 厂商已经确认,细节仅向厂商公开
2013-07-22: 细节向核心白帽子及相关领域专家公开
2013-08-01: 细节向普通白帽子公开
2013-08-11: 细节向实习白帽子公开
2013-08-22: 细节向公众公开
简要描述:
江西省吉安市卫生局网站使用了存在漏洞的动易siteweaver6.5CMS,且网站许多敏感目录和敏感文件使用常见的易被猜测的路径,综合这些漏洞可以获取到该网站的webshell。此外与该网站处于同一台服务器的网站中,有20多家吉安市其他政府的门户网站,这些网站存在不同程度的漏洞,且其中一家网站早已经被人放了大马。对于吉安市政府来说,如此多的重要网站面临随时被篡改的风险,无论是从社会影响还是从本身政绩考虑,都应该重视并尽早修复这些漏洞。
详细说明:
首先,用路径库比较全的目录扫描工具扫描吉安市卫生局网站http://www.jawsj.gov.cn/就能发现大量敏感目录和敏感文件,其中比较关键的是后台管理地址为http://www.jawsj.gov.cn/admin/admin_login.asp,以及CMS的数据库文件地址http://www.jawsj.gov.cn/database/SiteWeaver6.5.mdb,相信许多大侠手中的路径库都包含这两条路径。打开后台可以发现是动易的后台,同时从MDB的文件名也可看出是动易后台。
打开mdb文件可以看到用户名和密码的表,
用户名为admin的账号,其密码md5加密了,找个网站破解下,是弱密码wsj2012,
通过之前扫描到的后台路径,登录进去
在后台的系统设置中虽然可以修改允许上传文件的类型,但是实际测试发现即使修改了允许传asp文件,在实际上传时也无法传成功。
而且多个新闻板块的上传功能无效,提示权限不足。好在发现“法规文件管理”这个板块有上传权限,还可以浏览上传文件的目录列表。
但是多次尝试绕过验证上传asp马都未成功。
于是转换思路,想起动易cms曾经爆过一个漏洞,可以通过“添加自定义网页”这个功能来挂一句话木马。
但是仔细看了系统设置里面(可以从前面的第二张图看),没有发现“添加自定义网页”这个菜单。估计是网站开发人员故意屏蔽掉了,从开发人员使用大量默认路径来看,可能
“添加自定义网页”这个功能的asp页面还是在网站cms目录里面,只是开发人员简单的在后台页面把那个菜单删除了。若使用过动易CMS的朋友,应该知道那个页面的原始文件名为Admin_page.asp,尝试打开,果真存在,但无法直接打开。
不怕,这种限制因为一些子菜单页面只能通过整体框架中的菜单链接来调用,不能浏览器直接访问。我们可以利用谷歌浏览器开发模式,修改其他菜单的超级连接为Admin_page.asp,
修改了超级连接后点击进入成功,
然后添加自定义页面,
这里有一个细节要注意的是,大部分的文件夹都是没有写权限的,前面尝试上传文件的时候就碰到过大部分新闻模块无权限上传,不过“法规文件管理”这个模块可以上传,所以在添加自定义页面时,路径要填写法规文件上传的路径,即/wenjian/UploadFiles_2729这个目录,
添加成功后,再点击生成本页即可。
至此一句话植入成功,后利用菜刀连接成功后,测试放大马成功。
此外,该网站所在服务器还托管了20几家吉安市其他政府的门户网站,其中不少网站也或多或少有些web应用漏洞,比如吉安党建网,使用了FCKeditor编辑器,可能存在上传漏洞,而且已经被前人植入了大马http://www.jadj.com.cn/wh.asp。再比如吉安市永新县政府门户网站,使用了风讯5.0的cms做后台,该版本早已被爆存在SQL注入漏洞,在wooyun搜索也能找到这个漏洞的信息,笔者做过测试,确实能爆库。
因webshell已经拿到,旁站风险就不多赘述了。
漏洞证明:
修复方案:
都是CMS惹的祸啊。
版权声明:转载请注明来源 JXISTEC@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2013-07-12 23:45
厂商回复:
最新状态:
暂无