当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076457

漏洞标题:某通用政府/医院建站系统漏洞集合已GetShell(SQL注入、弱口令、文件上传)

相关厂商:cncert国家互联网应急中心

漏洞作者: PythonPig

提交时间:2014-09-18 11:27

修复时间:2014-12-17 11:28

公开时间:2014-12-17 11:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-18: 细节已通知厂商并且等待厂商处理中
2014-09-23: 厂商已经确认,细节仅向厂商公开
2014-09-26: 细节向第三方安全合作伙伴开放
2014-11-17: 细节向核心白帽子及相关领域专家公开
2014-11-27: 细节向普通白帽子公开
2014-12-07: 细节向实习白帽子公开
2014-12-17: 细节向公众公开

简要描述:

某通用政府/医院建站系统漏洞集合已GetShell(SQL注入、弱口令、文件上传)

详细说明:

问题厂家是:兰州通讯技术公司
使用该公司建站系统的主要是医院、甘肃省省、市级政府部门的卫生局、疾病预防控制中心、卫生监督所等,下面仅列出了一部分政府单位(很多已成为马场)

使用此建站系统的网站.JPG


第一部分:SQL注入

用goole搜索:inurl:.jsp?preid= 兰州通讯技术

搜到的使用该建站系统的网站有一些已经把注入进行了修复,下面是我测试了的几个网站

http://www.qyszxxz.com/list.jsp?classid=36&preid=17   庆阳市中心血站  参数preid注入
http://202.100.85.100/list.jsp?preid=240&classid=247 甘肃省人民政府国有资产监督管理委员会 参数preid注入
http://www.ldlyy.com/sub_detail.jsp?classid=29&preid=1 甘肃省两当疗养院 参数preid注入
http://www.gsjkjy.org.cn/mail_detail.jsp?id=6 甘肃省健康教育信息网


以甘肃省人民政府国有资产监督管理委员会http://202.100.85.100/list.jsp?preid=240&classid=247为例证明如下
注入点信息

注入点.JPG

数据库信息

databases.JPG

tables.JPG


第二部分:文件上传GetShell(很多已成为马场)
这部分分为两个部分,兰州通讯技术公司的建站系统主要有jsp和asp两种,jsp的网站使用的是fckeditor,asp的网站使用的是ewebeditor。
jsp的网站:先提供几个案例供wooyun审核及cncert确认

http://www.gsblood.com/甘肃省血液中心
http://www.qyszxxz.com/庆阳市中心血站
http://www.jcsxz.com/金昌市中心血站
http://www.jygsyy.com/嘉峪关市第一人民医院
http://www.lzfybj.cn/兰州市妇幼保健院
http://www.qyszyy.com/庆阳市中医医院
http://www.lxzfby.com/临夏州妇幼保健院
http://www.gsfybjy.com/甘肃省妇幼保健院
http://www.qyfybj.com/庆阳市妇幼保健院

文件上传页面是www.xxx.com/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector
下面以兰州市妇幼保健院http://www.lzfybj.cn/为例证明:
jsp文件上传页:http://www.lzfybj.cn//FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/jsp/connector
遍历目录找马的路径:http://www.lzfybj.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=File/

遍历找马的路径.JPG

刀.JPG


jsp的网站:先提供几个案例供wooyun审核及cncert确认

http://qy.gsws.gov.cn/admin/webedit/admin_login.asp     庆阳市卫生局  
http://ww.gsws.gov.cn/admin/webedit/admin_login.asp 武威市卫生局
http://ts.gsws.gov.cn/admin/webedit/admin_login.asp 天水市卫生局
http://ln.gsws.gov.cn/admin/webedit/admin_login.asp 陇南市卫生局
http://lx.gsws.gov.cn/admin/webedit/admin_login.asp 临夏州卫生局
http://pljk.gsws.gov.cn/admin/webedit/admin_login.asp 平凉市疾病预防控制中心
http://jqjk.gsws.gov.cn/admin/webedit/admin_login.asp 酒泉市疾病预防控制中心
http://lxjk.gsws.gov.cn/admin/webedit/admin_login.asp 临夏州疾病预防控制中心


利用弱口令 admin admin 可进入ewebeditor的后台管理界面

eweb后台.JPG

对这个比较老的漏洞,没研究过,到这里为止吧。

漏洞证明:

见详细说明

修复方案:

大修,补丁要及时,过滤等

版权声明:转载请注明来源 PythonPig@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-23 08:20

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-18 18:06 | 子丑寅卯辰 ( 路人 | Rank:2 漏洞数:1 | 子丑寅卯辰巳午未申酉戌亥)

    各种护士,各种姿势,各种诱惑。。。

  2. 2014-09-18 18:23 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    @子丑寅卯辰 你懂的太多了