漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-022213
漏洞标题:西宁多政府网站存在安全漏洞可能被入侵(其中已经有很多黑链)
相关厂商:西宁政府网站
漏洞作者: khjian
提交时间:2013-04-22 11:56
修复时间:2013-06-06 11:57
公开时间:2013-06-06 11:57
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:12
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-22: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-05-03: 细节向核心白帽子及相关领域专家公开
2013-05-13: 细节向普通白帽子公开
2013-05-23: 细节向实习白帽子公开
2013-06-06: 细节向公众公开
简要描述:
测试了西宁部分电子政府站点,发现了一些问题
详细说明:
西宁市环保局
http://www.xnepb.gov.cn/admin_index.asp
用户名 admin 密码 111111
存在压缩文件http://www.xnepb.gov.cn/111.rar
http://www.xnepb.gov.cn/silent.php 后门 站点不支持php 所以打不开
http://www.xnepb.gov.cn/Admin_Sadofot.asp 也是后门 密码 zhangshuaixing
http://www.xnepb.gov.cn/image/oy.asp;.txt 后门
http://www.xnepb.gov.cn/editor/DownLoadegw.aspx 后门 asp.net一句话
http://www.xnepb.gov.cn/images/maing.asp;ety.gif 后门
http://www.xnepb.gov.cn/images/me.asp;.jpg 后门
西宁市财政局
http://xnczj.xining.gov.cn/login.asp 后台连版权信息都没去掉,安全意识薄弱啊
用户名admin 密码admin888
http://xnczj.xining.gov.cn/Zongg/addadm.asp 广告管理系统,密码是默认的
西宁市教育局
系统用的是zdsoft
http://www.xnedu.cn/Admin/left.aspx 利用zdsoft系统漏洞渗透http://www.xnedu.cn/Admin/login.aspx 用户名zdsoft 密码aaa
西宁市水利局
http://www.qhxnsl.gov.cn/admin_index.asp 用户名admin 密码admin888
西宁市民政局
http://xnmzj.xining.gov.cn/upload/upload.asp 上传漏洞,可直接拿webshell
http://xnmzj.xining.gov.cn/upload/uploadFile/2013420183255.asp
漏洞证明:
另外,N多站点被挂了黑链,似乎都是同一个公司做的,青海海灵软件有限公司
西宁供销社 黑链
http://xncoop.xining.gov.cn/
西宁交通局 黑链
http://xnjtj.xining.gov.cn/
西宁市卫生局 黑链
http://xnwsj.xining.gov.cn/
西宁文化广播电视局 黑链
http://xnwgj.xining.gov.cn/
西宁无线电管理 黑链
http://wwb.xining.gov.cn/
西宁纪检监察 黑链
http://xnjw.xining.gov.cn/
西宁科技局 黑链
http://xnkj.xining.gov.cn/
西宁城管局 黑链
http://xncgj.xining.gov.cn/
西宁事管局 黑链
http://jgsw.xining.gov.cn/
西宁法制办 黑链
http://fzb.xining.gov.cn/
西宁档案局 黑链
http://xndaj.xining.gov.cn/
西宁组织部 黑链
http://xndjw.xining.gov.cn/index1.html
西宁机关党建 黑链
http://jggw.xining.gov.cn/
西宁残联 黑链
http://cl.xining.gov.cn/
修复方案:
你懂的
版权声明:转载请注明来源 khjian@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-04-23 18:37
厂商回复:
CNVD确认并复现所述多个情况,同时确认黑链情况(黑链宣告竟然还用了<strong>标签,这个对搜索引擎有效果不?求SEO高手)。
按多个漏洞和多个安全事件综合评分,涉及某市级多个部门,给满20
最新状态:
暂无