当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108672

漏洞标题:长沙市轨道交通集团多个漏洞集合

相关厂商:cncert国家互联网应急中心

漏洞作者: 千斤拨四两

提交时间:2015-04-22 17:04

修复时间:2015-06-08 18:02

公开时间:2015-06-08 18:02

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

在网站前来已经暴漏了大量可利用信息,利用前台暴漏出来的信息一步一步撸,详细过程看下!

详细说明:

在前台晃悠着玩找到一处投诉建议,愣眼一看就是fckeditor编译器,遇到这情况指定是把查看服务器文件给删了,没想到管理员竟然没删除,瞬间思路就明朗了。

1.png


投诉建议URL(http://www.hncsmtr.com/channels/100.html)
我不得不说这个fckeditor暴漏了太多太多的信息,网站后台以及使用的cms直接了然于胸!

2.jpg


siteserver文件夹很是惹人眼啊,点击没错是网站的后台文件夹。
后台管理的地址!

http://www.dadi-chem.com/siteserver/login.aspx


既然fckeditor给我们提供了那么好的条件,翻翻看有什么可利用的,我去,这个网站配置是有多强大,这么多第三方编译器。

3.png


看来管理员的安全意识还是不错的,编译器漏洞全都补了,没办法还是从fckeditor入手,因为
这里至少还存在aspx上传页面。因为网站是asp.net,支持asp,aspx于是想到利用建立xx.asp文件夹试着获取shell。
直接建立1.asp文件夹,“.”会被转移成“_”,所以这么我们利用Fiddler截断修改建立!
fierfox设置代理,是Fiddler截断数据包。F11截断等待数据!

4.jpg


点击创建,Fiddler截取到数据,下面看操作修改数据!

5.jpg


在currentFoler修改为1.asp,之后点击Run to Completion放行数据,OK创建完成!

6.png


剩下的就不言而喻了,上传一个图片马,在1.asp文件夹下的文件都会以asp解析,所以我们把马的后缀改成图片后缀就能解析!
但是万万没想到,根本无法上传图片,普通的图片都无法上传,我天,真的很无助啊!
想想别的办法吧!于是开始从这个cms开始入手,百度搜索了下cms漏洞,还真的不少,利用到的是在后台登陆处有一个忘记密码功能,猜测管理员是admin,但是有密码问题,就是密码问题出有漏洞,页面有做javascript限制答案长度不能为0,但禁用javascript即可绕过。

7.png


漏洞证明:

有了账户有了密码,登录后台吧!这个后台让我有点头疼,功能太多了,密密麻麻的!

8.png


进了后台我们是不是可以在建立的1.asp里上传图片马了,但是蛋疼的是,无语。。。

12.png


13.png


虽然建立了1.asp文件夹,但不能访问,做了限制!还是不要着急,前台我感觉还是有漏洞,别忘了在编译器处可测试XSS盲打.
在内容处添加如下内容提交!

9.png


有了管理员用户再也不用担心管理员会不会查看了,好吧,我就帮你测试一下吧!
点击之后,cookie立马掉了下来!

10.png


在后台转了一大圈也没拿到shell,但是不得不说功能很强大,但功能越强大,越容易出现漏洞!

11.png


修复方案:

漏洞太多了。慢慢修复,你们更专业,求给15RANK拜托实习!

版权声明:转载请注明来源 千斤拨四两@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-24 18:00

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给湖南分中心,由湖南分中心后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论