当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0151628

漏洞标题:宁夏省政府法制办官网服务器getshell

相关厂商:cncert国家互联网应急中心

漏洞作者: 朱元璋

提交时间:2015-11-05 00:04

修复时间:2015-12-24 11:18

公开时间:2015-12-24 11:18

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-11-05: 细节已通知厂商并且等待厂商处理中
2015-11-09: 厂商已经确认,细节仅向厂商公开
2015-11-19: 细节向核心白帽子及相关领域专家公开
2015-11-29: 细节向普通白帽子公开
2015-12-09: 细节向实习白帽子公开
2015-12-24: 细节向公众公开

简要描述:

RT

详细说明:

打开官网**.**.**.**后点击图中的标识链接

00.jpg


地址**.**.**.**:7001/legioff/LoginAction!userLoginPro.action存在命令执行漏洞

0.png


直接上传木马到服务器

1.jpg

漏洞证明:

net user

\\NXFZB-C6A133BB1 的用户帐户
-------------------------------------------------------------------------------
__SUNLOGIN_USER__        Administrator            Guest                    
SUPPORT_388945a0         
命令成功完成。


net start

已经启动以下 Windows 服务: 
   360EntClientService
   Application Experience Lookup Service
   Application Layer Gateway Service
   Automatic Updates
   COM+ Event System
   Computer Browser
   Cryptographic Services
   DCOM Server Process Launcher
   DHCP Client
   DNS Client
   Error Reporting Service
   Event Log
   HID Input Service
   Logical Disk Manager
   Network Connections
   Network Location Awareness (NLA)
   OracleOraDb10g_home1TNSListener
   OracleServiceLEGIOFF
   Plug and Play
   Print Spooler
   Protected Storage
   Remote Procedure Call (RPC)
   Secondary Logon
   Security Accounts Manager
   Server
   Shell Hardware Detection
   System Event Notification
   Task Scheduler
   TCP/IP NetBIOS Helper
   Terminal Services
   Windows Audio
   Windows Firewall/Internet Connection Sharing (ICS)
   Windows Management Instrumentation
   Windows Time
   Wireless Configuration
   Workstation
   主动防御
命令成功完成。


netstat -ano

Active Connections
  Proto  Local Address          Foreign Address        State           PID
  TCP    **.**.**.**:135            **.**.**.**:0              LISTENING       700
  TCP    **.**.**.**:445            **.**.**.**:0              LISTENING       4
  TCP    **.**.**.**:1025           **.**.**.**:0              LISTENING       456
  TCP    **.**.**.**:1030           **.**.**.**:0              LISTENING       1492
  TCP    **.**.**.**:1521           **.**.**.**:0              LISTENING       1236
  TCP    **.**.**.**:3389           **.**.**.**:0              LISTENING       340
  TCP    **.**.**.**:139         **.**.**.**:0              LISTENING       4
  TCP    **.**.**.**:1031        **.**.**.**:1521        ESTABLISHED     1492
  TCP    **.**.**.**:1521        **.**.**.**:1031        ESTABLISHED     1236
  TCP    **.**.**.**:1553        **.**.**.**:80     ESTABLISHED     2168
  TCP    **.**.**.**:2601        **.**.**.**:8888        SYN_SENT        2828
  TCP    **.**.**.**:7001        **.**.**.**:0              LISTENING       3360
  TCP    **.**.**.**:7001        **.**.**.**:46131   TIME_WAIT       0
  TCP    **.**.**.**:7001        **.**.**.**:46158   TIME_WAIT       0
  TCP    **.**.**.**:7001        **.**.**.**:46164   ESTABLISHED     3360
  TCP    **.**.**.**:7002        **.**.**.**:0              LISTENING       3360
  TCP    **.**.**.**:1027         **.**.**.**:0              LISTENING       1236
  TCP    **.**.**.**:1032         **.**.**.**:0              LISTENING       200
  TCP    **.**.**.**:1521         **.**.**.**:2635         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:2636         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:2637         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3293         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3295         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3298         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3299         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3301         ESTABLISHED     1236
  TCP    **.**.**.**:1521         **.**.**.**:3303         ESTABLISHED     1236
  TCP    **.**.**.**:2635         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:2636         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:2637         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3293         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3295         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3298         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3299         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3301         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:3303         **.**.**.**:1521         ESTABLISHED     3360
  TCP    **.**.**.**:7001         **.**.**.**:0              LISTENING       3360
  TCP    **.**.**.**:7002         **.**.**.**:0              LISTENING       3360
  TCP    **.**.**.**:139     **.**.**.**:0              LISTENING       4
  TCP    **.**.**.**:7001    **.**.**.**:0              LISTENING       3360
  TCP    **.**.**.**:7002    **.**.**.**:0              LISTENING       3360
  UDP    **.**.**.**:445            *:*                                    4
  UDP    **.**.**.**:1495           *:*                                    2168
  UDP    **.**.**.**:1505           *:*                                    2828
  UDP    **.**.**.**:1543           *:*                                    1640
  UDP    **.**.**.**:1544           *:*                                    1640
  UDP    **.**.**.**:1546           *:*                                    1640
  UDP    **.**.**.**:2100           *:*                                    1640
  UDP    **.**.**.**:2108           *:*                                    1640
  UDP    **.**.**.**:2109           *:*                                    1640
  UDP    **.**.**.**:2604           *:*                                    1640
  UDP    **.**.**.**:3600           *:*                                    2168
  UDP    **.**.**.**:123         *:*                                    808
  UDP    **.**.**.**:137         *:*                                    4
  UDP    **.**.**.**:138         *:*                                    4
  UDP    **.**.**.**:123          *:*                                    808
  UDP    **.**.**.**:2241         *:*                                    2168
  UDP    **.**.**.**:123     *:*                                    808
  UDP    **.**.**.**:137     *:*                                    4
  UDP    **.**.**.**:138     *:*                                    4


ipconfig /all

Windows IP Configuration
   Host Name . . . . . . . . . . . . : nxfzb-c6a133bb1
   Primary Dns Suffix  . . . . . . . : 
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接 2:
   Media State . . . . . . . . . . . : Media disconnected
   Description . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client) #2
   Physical Address. . . . . . . . . : E4-1F-13-E3-0D-1A
Ethernet adapter 本地连接:
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Broadcom BCM5709C NetXtreme II GigE (NDIS VBD Client)
   Physical Address. . . . . . . . . : E4-1F-13-E3-0D-18
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : **.**.**.**
   Subnet Mask . . . . . . . . . . . : **.**.**.**
   Default Gateway . . . . . . . . . : **.**.**.**
   DNS Servers . . . . . . . . . . . : **.**.**.**
Ethernet adapter 本地连接 3:
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : IBM USB Remote NDIS Network Device
   Physical Address. . . . . . . . . : E6-1F-13-E4-0D-1B
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IP Address. . . . . . . . . . . . : **.**.**.**
   Subnet Mask . . . . . . . . . . . : **.**.**.**
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : **.**.**.**
   Lease Obtained. . . . . . . . . . : 2015年11月3日 23:54:43
   Lease Expires . . . . . . . . . . : 2015年11月4日 0:04:43


net share 

共享名       资源                            注释
-------------------------------------------------------------------------------
D$           D:\                             默认共享                          
C$           C:\                             默认共享                          
E$           E:\                             默认共享                          
ADMIN$       C:\WINDOWS                      远程管理                          
G$           G:\                             默认共享                          
IPC$                                         远程 IPC                          
gongxiang    G:\gongxiang                    
photo        E:\oracle\Middleware\user_projects\domains\legioff\IdPhoto
命令成功完成。


net view

服务器名称            注释
-------------------------------------------------------------------------------
\\HQGLAPP                                                                      
\\NX                                                                           
\\NXFZB                                                                        
\\NXFZB-C6A133BB1                                                              
\\NXGOVYQ2                                                                     
\\NXJGJDATASERVER      nxjgj hqgl-data server                                  
\\NXTAYA                                                                       
\\NXXF5                                                                        
\\NXYQ2                                                                        
\\NXYQ4                                                                        
\\XFTRS                                                                        
命令成功完成。

修复方案:

加强安全意识

版权声明:转载请注明来源 朱元璋@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-11-09 11:17

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发对应分中心,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评价