漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-012277
漏洞标题:对某门户的简单检测过程
相关厂商:某门户
漏洞作者: Aepl│恋爱
提交时间:2012-09-16 21:59
修复时间:2012-09-16 21:59
公开时间:2012-09-16 21:59
漏洞类型:文件上传导致任意代码执行
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-09-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-09-16: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
基础设施运维不当,弱口令导致网站及服务器沦陷
详细说明:
目标站xx.gov.com
首先到目标站看一眼程序源码
随便翻了几个页面 一眼看出程序是PHP的
习惯性动作 查看首页源代码 很熟悉了 织梦的系统~呵呵
看到是织梦的系统了,脑子里瞬间闪现出的就是织梦的默认版本号txt
/data/admin/ver.txt 这个就是织梦版本号默认文件了,额 其实也不是版本号 就是一个年份
我们来访问看看~
正常访问,没错了~我猜的没错 这就是织梦,但是一看到年份我蛋疼了 这个年份在我的印象里貌似没什么Exp可用。
然后我就去找找看,发现确实没有可利用的Exp..... 先不管它有没有对应的Exp 还是要试试的 就拿上次朋友爆过的那个Exp试试先~
查看管理员帐号
/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20userid%20from%20`%23@__admin`%20where%201%20or%20id=@`'`
居然爆到了用户名 看样子有戏哦~那就继续爆下密码~~
查看管理员密码
/member/ajax_membergroup.php?action=post&membergroup=@`'`%20Union%20select%20pwd%20from%20`%23@__admin`%20where%201%20or%20id=@
很显然,不行.....额。。杂就那么悲剧呢~
再想想办法! 没Exp难道就不活了么?
扫目录吧~ 就拿内部版的破壳扫扫先~ 然后接着wwwsan一起扫,希望能获得一些有用的信息~
通过扫描 得到以上信息~
我挨个点了下看看
报错页面直接爆出物理路径~也爆出了服务器的iis信息为IIS7.5
接着往下继续点了点 等我点到了bbs/admin/这里 出现了一个论坛后台
这就是动网先锋论坛系统啊 先到论坛的前台看看去先~~
尼玛!。。。挑衅我? 一个全新的论坛系统,那意思就是.........管理员可能连密码都没有改哦
去抱着试试看的心情试了下。
admin admin888 输入验证码回车~
进去了~ 呵呵
下面就来拿shell吧,以前没拿过动易的论坛 呵呵 新手-接触的少,大神们别耻笑俺,翻了翻后台的功能 先去看的编辑器,一向后台我第一去看的就是编辑器了。
额。。。找了一会,在后台我居然没找到发表文章的地方 又回去扫描器看了下扫描的结果 得到了
http://www.xx.gov.cn/bbs/Admin/Label.asp?do=edit_label&realdo=edit&file=besttopic.tpl&folder=/Dv/
研究下了这编辑器.......无果~.....囧
再去看看别的页面功能吧~
然后就发现了版面管理这个功能模块,进到版面管理-版面(分类)管理 找了个默认的版面
点击高级设置进去-
往下拉 看到了上传附件类型设置
就添加了几个常用的文件类型 然后去前台新注册个用户 上传附件
经过上传测试asp和asa还有ashx不能上传,报错为上传类型错误,在后台设置了还是不行。那就上传aspx试下,直接传了个aspx的小马上传,上传之后回到后台 到上传文件管理里面去查看刚刚上传的文件
明明上传了的 却找不到文件 很是郁闷。。。
那就再传个PHP试下吧,
菜刀连接试试~
成功连接~
服务器类型为全能空间 支持asp .net php 万网服务器
太困了 凌晨6点就写笔记..还没睡纳!先不提权了 没什么技术含量,大神们不要耻笑鸟蛋的俺.....
2012年9月16日 06:02:41
by:Aepl│恋爱
漏洞证明:
后台弱口令/后台上传类型可设置
修复方案:
修补弱口令/限制上传类型
版权声明:转载请注明来源 Aepl│恋爱@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝