当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071599

漏洞标题:某市气象局mEditor任意文件上传可getshell可渗透内网

相关厂商:CNCERT

漏洞作者: 超威蓝猫

提交时间:2014-08-10 23:09

修复时间:2014-08-15 23:10

公开时间:2014-08-15 23:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-10: 细节已通知厂商并且等待厂商处理中
2014-08-15: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某市气象局mEditor任意文件上传可getshell可渗透内网

详细说明:

http://www.dg121.com/ 东莞市气象局
http://www.dg121.com/tld/admin/Admin/Admin_Setting.asp mEditor缺陷,未授权访问
在"修改样式"中的"上传文件类型"处加入aspx,保存后点击"编译文件"

sshot-2014-08-08-[1].png

sshot-2014-08-08-[2].png


IE访问 http://www.dg121.com/tld/admin/mEditor_Full.html ,上传图片处传aspx一句话,抓包在文件名xxxxx.aspx中的"."与"aspx"间加一个空格,且url中的path=upload/改为path=..即可成功绕过WAF。

sshot-2014-08-08-[3].png


得到一句话地址 http://www.dg121.com/tld/201488174128291.aspx 密码-7

sshot-2014-08-08-[4].png


从FTP配置文件中读到一个用户的密码 dgsqxj:dg+121

sshot-2014-08-08-[5].png


sshot-2014-08-08-[6].png


服务器在内网,反弹出3389端口后登录服务器 读出Administrator账户密码为dgsqxjdg+121

sshot-2014-08-08-[7].png


同时,内网还有大量服务器,或可以进一步渗透

sshot-2014-08-08-[8].png


10.12.12.10: 443
10.12.12.23: 80
10.12.12.23: 139
10.12.12.23: 135
10.12.12.23: 445
10.12.12.23: 1433
10.12.12.23: 3389
10.12.12.25: 445
10.12.12.25: 21
10.12.12.25: 135
10.12.12.25: 3306
10.12.12.25: 3389
10.12.12.33: 23
10.12.12.34: 23
10.12.12.36: 23
10.12.12.39: 80
10.12.12.39: 139
10.12.12.39: 445
10.12.12.39: 135
10.12.12.39: 1433
10.12.12.39: 3389
10.12.12.44: 443
10.12.12.44: 21
10.12.12.44: 135
10.12.12.44: 445
10.12.12.44: 3389
10.12.12.44: 3306
10.12.12.46: 80
10.12.12.46: 139
10.12.12.46: 445
10.12.12.46: 21
10.12.12.46: 22
10.12.12.46: 3306
10.12.12.47: 80
10.12.12.47: 21
10.12.12.47: 22
10.12.12.47: 3306
10.12.12.48: 80
10.12.12.48: 139
10.12.12.48: 445
10.12.12.48: 135
10.12.12.48: 1433
10.12.12.48: 3389
10.12.12.50: 80
10.12.12.50: 139
10.12.12.50: 445
10.12.12.50: 135
10.12.12.50: 3389
10.12.12.52: 80
10.12.12.52: 445
10.12.12.52: 135
10.12.12.52: 3389
10.12.12.53: 80
10.12.12.54: 445
10.12.12.54: 3389
10.12.12.61: 22
10.12.12.62: 80
10.12.12.62: 21
10.12.12.62: 22
10.12.12.62: 3306
10.12.12.73: 135
10.12.12.81: 80
10.12.12.81: 443
10.12.12.81: 22
10.12.12.81: 23
10.12.12.82: 443
10.12.12.82: 22
10.12.12.82: 23
10.12.12.84: 80
10.12.12.84: 139
10.12.12.84: 445
10.12.12.84: 135
10.12.12.84: 3389
10.12.12.94: 80
10.12.12.94: 139
10.12.12.94: 445
10.12.12.94: 135
10.12.12.94: 21
10.12.12.94: 3389
10.12.12.96: 80
10.12.12.96: 22
10.12.12.97: 80
10.12.12.97: 21
10.12.12.97: 22
10.12.12.97: 3306
10.12.12.98: 80
10.12.12.98: 139
10.12.12.98: 443
10.12.12.98: 445
10.12.12.98: 21
10.12.12.98: 135
10.12.12.98: 3306
10.12.12.98: 3389
10.12.12.99: 80
10.12.12.99: 139
10.12.12.99: 445
10.12.12.99: 135
10.12.12.99: 21
10.12.12.99: 3389
10.12.12.100: 80
10.12.12.100: 22
10.12.12.101: 80
10.12.12.101: 139
10.12.12.101: 445
10.12.12.101: 135
10.12.12.101: 3389
10.12.12.102: 80
10.12.12.102: 139
10.12.12.102: 445
10.12.12.102: 135
10.12.12.102: 1433
10.12.12.102: 3389
10.12.12.103: 80
10.12.12.103: 139
10.12.12.103: 445
10.12.12.103: 135
10.12.12.103: 3389
10.12.12.105: 80
10.12.12.105: 139
10.12.12.105: 443
10.12.12.105: 445
10.12.12.105: 135
10.12.12.105: 21
10.12.12.105: 3306
10.12.12.105: 3389
10.12.12.111: 80
10.12.12.111: 443
10.12.12.111: 22
10.12.12.113: 443
10.12.12.114: 80
10.12.12.114: 21
10.12.12.114: 22
10.12.12.122: 80
10.12.12.122: 139
10.12.12.122: 443
10.12.12.122: 445
10.12.12.122: 135
10.12.12.122: 21
10.12.12.175: 80
10.12.12.175: 139
10.12.12.175: 443
10.12.12.175: 445
10.12.12.175: 135
10.12.12.175: 3389
10.12.12.195: 80
10.12.12.195: 445
10.12.12.195: 135
10.12.12.195: 21
10.12.12.199: 139
10.12.12.199: 445
10.12.12.199: 135
10.12.12.199: 21
10.12.12.199: 22
10.12.12.199: 1433
10.12.12.201: 80
10.12.12.201: 445
10.12.12.201: 135
10.12.12.201: 21
10.12.12.202: 80
10.12.12.202: 139
10.12.12.202: 445
10.12.12.202: 135
10.12.12.202: 3389
10.12.12.203: 80
10.12.12.203: 135
10.12.12.203: 21
10.12.12.203: 3389
10.12.12.204: 80
10.12.12.204: 139
10.12.12.204: 445
10.12.12.204: 135
10.12.12.204: 21
10.12.12.204: 3389
10.12.12.205: 80
10.12.12.205: 139
10.12.12.205: 445
10.12.12.205: 135
10.12.12.205: 21
10.12.12.205: 3306
10.12.12.205: 3389
10.12.12.207: 445
10.12.12.207: 135
10.12.12.207: 3389
10.12.12.210: 80
10.12.12.210: 139
10.12.12.210: 445
10.12.12.210: 135
10.12.12.210: 21
10.12.12.210: 1433
10.12.12.210: 3389
10.12.12.211: 139
10.12.12.211: 80
10.12.12.211: 445
10.12.12.211: 135
10.12.12.212: 80
10.12.12.212: 21
10.12.12.219: 80
10.12.12.219: 21
10.12.12.219: 3389
10.12.12.221: 80
10.12.12.221: 139
10.12.12.221: 445
10.12.12.221: 135
10.12.12.221: 21
10.12.12.221: 22
10.12.12.221: 3306
10.12.12.223: 80
10.12.12.223: 139
10.12.12.223: 445
10.12.12.223: 135
10.12.12.223: 21

漏洞证明:

如上

修复方案:

你们更专业:)

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-15 23:10

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-08-11 00:16 | Ares ( 路人 | Rank:29 漏洞数:8 | 来自幼儿园大班)

    @超威蓝猫 又内网了?

  2. 2014-08-20 16:38 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    为何忽略?

  3. 2014-08-31 23:10 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    @超威蓝猫,请问下去掉upload是啥原理?

  4. 2014-09-01 12:06 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @kydhzy 由于waf的存在 /upload目录不允许执行asp(x)文件。