当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117500

漏洞标题:宁波市档案局网站Getshell

相关厂商:cncert国家互联网应急中心

漏洞作者: 朱元璋

提交时间:2015-06-02 18:45

修复时间:2015-07-20 18:06

公开时间:2015-07-20 18:06

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-02: 细节已通知厂商并且等待厂商处理中
2015-06-05: 厂商已经确认,细节仅向厂商公开
2015-06-15: 细节向核心白帽子及相关领域专家公开
2015-06-25: 细节向普通白帽子公开
2015-07-05: 细节向实习白帽子公开
2015-07-20: 细节向公众公开

简要描述:

详细说明:

地址http://www.nbdaj.gov.cn/datk/titans/presz.action?method=getsyInfo存在命令执行漏洞

0.png


传马看内网情况

1.png


2.jpg


systeminfo

主机名:           WIN-MS3I28THVLV
OS 名称:          Microsoft Windows Server 2008 R2 Enterprise 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     Windows 用户
注册的组织:       
产品 ID:          00486-001-0001204-84553
初始安装日期:     2014/6/13, 13:36:08
系统启动时间:     2015/6/1, 9:30:24
系统制造商:       IBM
系统型号:         IBM System x3650 M4: -[7915R41]-
系统类型:         x64-based PC
处理器:           安装了 2 个处理器。
                  [01]: Intel64 Family 6 Model 62 Stepping 4 GenuineIntel ~1180 Mhz
                  [02]: Intel64 Family 6 Model 62 Stepping 4 GenuineIntel ~1180 Mhz
BIOS 版本:        IBM -[VVE136AUS-1.60]-, 2013/12/12
Windows 目录:     C:\Windows
系统目录:         C:\Windows\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   暂缺
时区:             (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     32,579 MB
可用的物理内存:   21,609 MB
虚拟内存: 最大值: 65,157 MB
虚拟内存: 可用:   53,577 MB
虚拟内存: 使用中: 11,580 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       暂缺
修补程序:         安装了 2 个修补程序。
                  [01]: KB958488
                  [02]: KB976902
网卡:             安装了 5 个 NIC。
                  [01]: IBM USB 远程 NDIS 网络设备
                      连接名:      本地连接
                      启用 DHCP:   是
                      DHCP 服务器: 169.254.95.118
                      IP 地址
                        [01]: 169.254.95.120
                        [02]: fe80::a4a3:1dd1:3531:3b9b
                  [02]: Intel(R) I350 Gigabit Network Connection
                      连接名:      本地连接 2
                      启用 DHCP:   否
                      IP 地址
                        [01]: 10.19.26.234
                        [02]: fe80::3559:aa32:cad9:efd9
                  [03]: Intel(R) I350 Gigabit Network Connection
                      连接名:      本地连接 3
                      状态:        媒体连接已中断
                  [04]: Intel(R) I350 Gigabit Network Connection
                      连接名:      本地连接 4
                      状态:        媒体连接已中断
                  [05]: Intel(R) I350 Gigabit Network Connection
                      连接名:      本地连接 5
                      状态:        媒体连接已中断


net start

已经启动以下 Windows 服务: 
   Apache Tomcat 6
   Application Host Helper Service
   Base Filtering Engine
   Certificate Propagation
   COM+ Event System
   Cryptographic Services
   DCOM Server Process Launcher
   Desktop Window Manager Session Manager
   DHCP Client
   Diagnostic Policy Service
   Distributed Link Tracking Client
   Distributed Transaction Coordinator
   DNS Client
   Group Policy Client
   IIS Admin Service
   IKE and AuthIP IPsec Keying Modules
   Intel(R) PROSet Monitoring Service
   IP Helper
   IPsec Policy Agent
   Machine Debug Manager
   Microsoft FTP Service
   Network List Service
   Network Location Awareness
   Network Store Interface Service
   OracleMTSRecoveryService
   OracleOraDb11g_home1TNSListener
   OracleServiceORCL
   Plug and Play
   Power
   Print Spooler
   Remote Desktop Configuration
   Remote Desktop Services
   Remote Desktop Services UserMode Port Redirector
   Remote Procedure Call (RPC)
   Remote Registry
   RPC Endpoint Mapper
   Security Accounts Manager
   Server
   Software Protection
   SPP Notification Service
   SQL Server (SQLEXPRESS)
   SQL Server VSS Writer
   System Event Notification Service
   Task Scheduler
   TCP/IP NetBIOS Helper
   TeamViewer 9
   User Profile Service
   Windows Event Log
   Windows Firewall
   Windows Font Cache Service
   Windows Management Instrumentation
   Windows Process Activation Service
   Windows Remote Management (WS-Management)
   Windows Update
   Workstation
   World Wide Web Publishing Service
   卡巴斯基反病毒 6.0
   网络代理
命令成功完成。

漏洞证明:

22.png

修复方案:

加强安全意识

版权声明:转载请注明来源 朱元璋@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-06-05 18:05

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论