当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050221

漏洞标题:洽洽食品某系统IIS配置不当导致任意代码执行

相关厂商:恰恰食品

漏洞作者: nauscript

提交时间:2014-02-02 23:55

修复时间:2014-03-19 23:56

公开时间:2014-03-19 23:56

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-02: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-03-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

IIS配置不当致使任意代码执行,旗下多站沦陷,上市公司大量采购、财务数据可查

详细说明:

其实问题很简单
1.WEB服务器扩展里设置WebDAV为允许
2.网站权限配置里开启了写入权限
http://iservice.qiaqiafood.com:8003/
首先找到的就是这个洽洽食品以及旗下华邦置业的两个OA系统,正是这个服务器的IIS配置不当,允许WEBDAV还有写权限,配合IIS6.0的解析漏洞,直接传

asp;.jpg

后缀的一句话(上传工具DAV explorer ),菜刀连接成功

2.jpg


打开web.config,找到数据库信息,连接数据库,裤子真不少,粗略的计算一下涵盖了洽洽集团旗下30多个WEB系统,部分系统,还有一些是内网的系统,包括众多的采购、财务、客户资料等信息,特别是OA系统中有许多这样的客户资料(详细到县一级的超市、商店),财务资料包括基本的购销存、差旅等 还有一些人事资料,满满的都是商业价值啊,这可是上市公司啊,OA系统内的短消息暴露的就更复杂了。。。

hr.jpg


.jpg


.jpg


.jpg


由于涉及的旗下系统、网站太多,在此不一一列举截图了,还需重视的就是几乎内外网的web应用,包括那个mis管理信息系统都存在许许多多的弱口令,应该要加强对内部员工的安全培训。

漏洞证明:

如上

修复方案:

1、禁止webdav
2、关闭写权限
另外,拿工具扫了一下,发现洽洽的好几个服务器都存在IIS tilde directory enumeration,即利用“~”字符猜解暴露短文件/文件夹名。微软的URLScan可以搞定,具体利用参见http://www.freebuf.com/articles/4908.html (参考于:http://www.cnblogs.com/ryhan/archive/2013/09/25.html,正好我自己的一台服务器用URLScan很简单就搞定了)

版权声明:转载请注明来源 nauscript@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2014-03-20 09:10 | 大天尊 ( 路人 | Rank:20 漏洞数:6 | ´-ω-`)

    洞主是要换WB买瓜子?

  2. 2014-03-20 14:44 | 郭斯特 ( 普通白帽子 | Rank:181 漏洞数:69 | GhostWin)

    2袋恰恰瓜子走起!