当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141429

漏洞标题:简记一次getshell过程(涉及贵州多家政府、企事业单位网站)

相关厂商:贵州网络源科技

漏洞作者: xd-a8

提交时间:2015-09-18 09:16

修复时间:2015-11-04 19:48

公开时间:2015-11-04 19:48

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-20: 厂商已经确认,细节仅向厂商公开
2015-09-30: 细节向核心白帽子及相关领域专家公开
2015-10-10: 细节向普通白帽子公开
2015-10-20: 细节向实习白帽子公开
2015-11-04: 细节向公众公开

简要描述:

简单的getshell
注入引发的血案,涉及多家政府部门、一省级法院、企业、学校、医院站点。

详细说明:

简单的getshell

漏洞证明:

0x00 注入
一个学校的网站,在这里存在非常明显的搜索型注入http://**.**.**.**/search.aspx?cond=
通过构造sql,

http://**.**.**.**/search.aspx?cond=A%'and(sql) and '%'='

盲注可得到后台管理员admin密码。登录后台。

1.png


0x01 上传
通过后台发现编辑器用的fckeditor,版本2.6.4。网上一堆漏洞,如:

http://**.**.**.**/fckeditor/editor/filemanager/connectors/test.html


http://**.**.**.**/fckeditor/editor/filemanager/connectors/uploadtest.html

两处上传
试了下,没法传。
于是另想办法。抓包后得到

http://**.**.**.**/fckeditor/editor/dialog/fck_files.aspx


这里可以传了,有前端验证后缀名,还有狗。

4.png

3.png


通过抓包改包过了验证,至于安全狗,也可以改包绕过。

5.png


小马上传成功,大马却屡屡失败,市面上的大马试了好几个,都给狗拦了!!!手上也没有特别猥琐的aspx马(90%的的aspx站都支持asp,而这站就是剩下的10%,asp读不了啊 大哭)。
0x02 webshell
大马传不了,只好用菜刀了。于是下了个过安全狗的菜刀(卧槽 求菜刀思路啊!)
重新传一句话,菜刀连接
ok

6.png

7.png

8.png


里面有30+企业,10+学校,几所政府部门。
有些目录文件没删除,编辑权限,但传个马还是没问题。就不深入提权了。
找到这家软件公司官网,发现还有

9.png


贵州省法院网同样的搜索功能,但不在那个服务器上

10.png


                                     A8 in XDU
                                     2015.9.15
-----------------------------------------------------------
后面截图测试的时个候才发现用了安全狗,现在没办法直接盲注。但有绕狗注入的方法。
直接给密码
地址:http://**.**.**.**/admin/
帐号:admin
密码:qc123456

修复方案:

网站外观设计得挺好,希望多注重安全。
安全狗是个好东西,别太依赖了,该过滤的就得过滤,该删的还得删。

版权声明:转载请注明来源 xd-a8@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-09-20 19:46

厂商回复:

CNVD确认所述漏洞情况,已经转由CNCERT下发贵州分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论