漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0108672
漏洞标题:长沙市轨道交通集团多个漏洞集合
相关厂商:cncert国家互联网应急中心
漏洞作者: 千斤拨四两
提交时间:2015-04-22 17:04
修复时间:2015-06-08 18:02
公开时间:2015-06-08 18:02
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
在网站前来已经暴漏了大量可利用信息,利用前台暴漏出来的信息一步一步撸,详细过程看下!
详细说明:
在前台晃悠着玩找到一处投诉建议,愣眼一看就是fckeditor编译器,遇到这情况指定是把查看服务器文件给删了,没想到管理员竟然没删除,瞬间思路就明朗了。
投诉建议URL(http://www.hncsmtr.com/channels/100.html)
我不得不说这个fckeditor暴漏了太多太多的信息,网站后台以及使用的cms直接了然于胸!
siteserver文件夹很是惹人眼啊,点击没错是网站的后台文件夹。
后台管理的地址!
既然fckeditor给我们提供了那么好的条件,翻翻看有什么可利用的,我去,这个网站配置是有多强大,这么多第三方编译器。
看来管理员的安全意识还是不错的,编译器漏洞全都补了,没办法还是从fckeditor入手,因为
这里至少还存在aspx上传页面。因为网站是asp.net,支持asp,aspx于是想到利用建立xx.asp文件夹试着获取shell。
直接建立1.asp文件夹,“.”会被转移成“_”,所以这么我们利用Fiddler截断修改建立!
fierfox设置代理,是Fiddler截断数据包。F11截断等待数据!
点击创建,Fiddler截取到数据,下面看操作修改数据!
在currentFoler修改为1.asp,之后点击Run to Completion放行数据,OK创建完成!
剩下的就不言而喻了,上传一个图片马,在1.asp文件夹下的文件都会以asp解析,所以我们把马的后缀改成图片后缀就能解析!
但是万万没想到,根本无法上传图片,普通的图片都无法上传,我天,真的很无助啊!
想想别的办法吧!于是开始从这个cms开始入手,百度搜索了下cms漏洞,还真的不少,利用到的是在后台登陆处有一个忘记密码功能,猜测管理员是admin,但是有密码问题,就是密码问题出有漏洞,页面有做javascript限制答案长度不能为0,但禁用javascript即可绕过。
漏洞证明:
有了账户有了密码,登录后台吧!这个后台让我有点头疼,功能太多了,密密麻麻的!
进了后台我们是不是可以在建立的1.asp里上传图片马了,但是蛋疼的是,无语。。。
虽然建立了1.asp文件夹,但不能访问,做了限制!还是不要着急,前台我感觉还是有漏洞,别忘了在编译器处可测试XSS盲打.
在内容处添加如下内容提交!
有了管理员用户再也不用担心管理员会不会查看了,好吧,我就帮你测试一下吧!
点击之后,cookie立马掉了下来!
在后台转了一大圈也没拿到shell,但是不得不说功能很强大,但功能越强大,越容易出现漏洞!
修复方案:
漏洞太多了。慢慢修复,你们更专业,求给15RANK拜托实习!
版权声明:转载请注明来源 千斤拨四两@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:12
确认时间:2015-04-24 18:00
厂商回复:
CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给湖南分中心,由湖南分中心后续协调网站管理单位处置。
最新状态:
暂无