当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0102792

漏洞标题:某企业建站程序多个漏洞影响大量网站

相关厂商:佛山市天博网络科技有限公司

漏洞作者: Ch丶0nly

提交时间:2015-03-26 14:36

修复时间:2015-05-10 14:38

公开时间:2015-05-10 14:38

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

某企业建站程序多个漏洞影响大量网站

详细说明:

 佛山市天博网络科技有限公司(原缘网设计)成立于2006年,拥有多年的网站建设经验,是集网站策划、网站功能模块开发、网站美工设计、网站程序开发等专业化运作于一体的运营团队,具备承接各种规模和类型的网站设计和开发能力。为客户提供的服务项目包括:网站建设、微网站设计、微商城建设、微信营销、网站优化(SEO)、网站推广、域名申请、空间租用等,曾先后多家知名企业和机构提供了一流的网站策划和设计服务,成功帮助客户取得了良好的市场效益,获得了客户的一致好评。  
官网:http://www.yuanweb.cn

漏洞证明:

该建站程序存在多处任意上传漏洞 无需登录
http://www.fsfa2008.com/admin/upfile.asp
http://www.fsfa2008.com/admin/UpFilePhoto.asp

1.jpg


后门地址:http://www.fsfa2008.com/admin/diy.asp
http://www.gzguojing.com/admin/UpFilePhoto.asp
http://www.gzguojing.com/admin/upfile.asp

2.jpg


后门地址:http://www.gzguojing.com/admin/diy.asp
http://www.fskuanpu.com/admin/UpFilePhoto.asp
http://www.fskuanpu.com/admin/upfile.asp

3.jpg


后门地址:http://www.fskuanpu.com/admin/diy.asp
http://www.fschuangyou.com/admin/UpFilePhoto.asp
http://www.fschuangyou.com/admin/upfile.asp

4.jpg


后门地址:http://www.fschuangyou.com/admin/asp.asp
http://www.konglongfeng.com//admin/UpFilePhoto.asp
http://www.konglongfeng.com//admin/upfile.asp

5.jpg


后门地址:http://www.konglongfeng.com/admin/asp.asp
另外该建站程序存在建站弱口令
数据库中会有一个默认管理员和密码
账号andy 密码125831308
后台存在任意文件上传

1.jpg


附部分案例:
http://www.gzguojing.com/admin/
http://www.fskuanpu.com/admin/
http://www.mmshangcheng.com/admin/
http://www.fschuangyou.com/admin/
http://www.konglongfeng.com/admin/
http://www.whqunying.com/admin/
http://www.foshanshenghuihong.com/admin/
http://www.gdcorrocoat.com/admin/
http://www.plasland.net/admin/

修复方案:

修复

版权声明:转载请注明来源 Ch丶0nly@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝