当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121269

漏洞标题:厦门市某三甲医院发现shell或可造成千万患者信息泄漏(黑产死灰复燃)

相关厂商:某三甲医院

漏洞作者: 路人甲

提交时间:2015-06-18 11:12

修复时间:2015-08-07 08:42

公开时间:2015-08-07 08:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-23: 厂商已经确认,细节仅向厂商公开
2015-07-03: 细节向核心白帽子及相关领域专家公开
2015-07-13: 细节向普通白帽子公开
2015-07-23: 细节向实习白帽子公开
2015-08-07: 细节向公众公开

简要描述:

指哪删哪是不对滴

详细说明:

偶然看了一篇文: WooYun: 厦门市某三甲医院预约系统发现shell可造成千万用户信息泄漏
cncert确认后,该院确实做了一些调整,首先是将文中指出的shell清除,后又停止了该预约系统的运营。
直到今天,有人告诉我,妇幼的系统又可以预约,所以我又提起了精神,瞅瞅经过这么长时间(的整改)后系统的安全状况是否得到改观,于是有了下文。
首先列一下之前系统的相关信息

之前的系统
ip:220.160.106.90(可参考下图的菜刀)
iis6


140807050d5eadf4b22ebb2b47ad7bf5568d9ef2.png


整改后的系统

ip:222.76.212.90
iis7.5


简而言之就是,换了一台服务器,升级了iis,另外删除了一些马,以为程序没问题了,再次对公众开放预约功能,那么问题来了。
尽管我在前文中说过要自查web,但运维就是调皮,故意留了个漏洞!一枚被前人隐藏在image目录下的一句话能带给我们什么呢?

http://yy.xmfybj.cn/image/img27.asp


密码:#


QQ截图20150617212903.jpg


首先映入眼帘的是一枚大马

http://yy.xmfybj.cn/image/cantactme.asp


但访问的时候报404

QQ截图20150617213048.jpg


马的内容是这样的

QQ截图20150617213327.jpg

漏洞证明:

为了防止黑产牛死灰复燃,友情检查了一下该预约系统下的所有文件
在E:\xmfy-yy\images\help\下存在黑链

QQ截图20150617213602.jpg


根据系统的文件修改时间推算,系统的重新部署是在2015年6月7日,而黑产牛发现系统重新投产后,黑链于2015年6月8日重新生成

QQ截图20150617213602.jpg


QQ截图20150617213940.jpg


在E:\xmfy-yy\imgchk\文件夹下同样存在黑链,

QQ截图20150617214100.jpg


QQ截图20150617214107.jpg


病人基本信息表SICK_BASIC_INFO

14082717e7b2ac7f6a133215b4337aa5a3152d3d.png


1408271264fcf44aac1111dff294c54fb3b5fff3.png


lis报告明细ZEMR_LIS_REPORT_DETAIL

1408272418c4b74b1cd6b4e018e9137f490d5ecb.png

修复方案:

删除shell,检查全站

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-06-23 08:41

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给福建分中心,由其后续协助网站管理单位处置.

最新状态:

暂无