中粮某站Getshell涉及多个其他业务子站 | wooyun-2015-0126857| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126857

漏洞标题：中粮某站Getshell涉及多个其他业务子站

漏洞作者：路人甲

提交时间：2015-07-15 09:28

修复时间：2015-08-29 14:52

公开时间：2015-08-29 14:52

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-15：细节已通知厂商并且等待厂商处理中
2015-07-15：厂商已经确认，细节仅向厂商公开
2015-07-25：细节向核心白帽子及相关领域专家公开
2015-08-04：细节向普通白帽子公开
2015-08-14：细节向实习白帽子公开
2015-08-29：细节向公众公开

简要描述：

中粮大部分重要网站沦陷

详细说明：

http://www.teachina.com/up/
目录遍历
http://www.teachina.com/up/20131109210255.asp（密码：8888）
http://www.teachina.com/up/20120503164837.aspx （密码：xxoo）

默认网站 WEBSERVER\Administrator info@tuhsu :80: c:\inetpub\wwwroot
cofcospice WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\cofcospice
spice WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\新建文件夹\cofcospice
teatrade WEBSERVER\Administrator info@tuhsu 10.6.132.3:80: D:\teatrade
xlsurvey WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\中粮调查问卷代码\last
oldinweb WEBSERVER\Administrator info@tuhsu 172.16.10.200:8001: D:\web\inweb
Microsoft SharePoint 管理 WEBSERVER\Administrtor info@tuhsu :6113: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\50\isapi\_vti_adm
newweb WEBSERVER\Administrator info@tuhsu 10.6.132.1:80: D:\newwebsite
OfficeScan WEBSERVER\Administrator info@tuhsu 192.168.1.4:8080: C:\Program Files\Trend Micro\OfficeScan\PCCSRV\WEB
xiangliao WEBSERVER\Administrator info@tuhsu 10.6.132.4:80: D:\chem
chinatea WEBSERVER\Administrator info@tuhsu 10.6.132.2:80: D:\chinatea
CofcoHealth WEBSERVER\Administrator info@tuhsu 10.6.132.6:80: D:\CofcoHealth
newoutweb WEBSERVER\Administrator info@tuhsu 192.168.1.4:80: D:\web\outweb
BBS WEBSERVER\Administrator info@tuhsu 10.6.132.7:80: D:\newwebsite\TUHSUBBS

D:\chinatea\up\> ipconfig
Windows IP Configuration
Ethernet adapter EXT:
   Media State . . . . . . . . . . . : Media disconnected
Ethernet adapter INT:
   Connection-specific DNS Suffix  . : 
   IP Address. . . . . . . . . . . . : 10.6.132.7
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.5
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.4
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.3
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.1
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.6.132.254

上面包含了很多网站
http://www.cofco-health.com/
http://www.tuhsu.com.cn/
http://www.teachina.com/
http://chinatea.com.cn/

<add name="heiyu173ConnectionString" connectionString="data source=10.6.18.2;User ID=heiyu200_f;pwd=he*****;Initial Catalog=heiyu200"></add>
http://www.cofco-health.com/
    <add name="lineConnection" connectionString="Data Source=10.6.18.2; database=webthink_zl; User id=xlgs; Password=xlgs*****"/>
uid=sa;pwd=wei;database=DB_CMS" />
    <add name="SQL2000" connectionString="server=211.144.157.203;uid=DB_jiaotongPre_f;pwd=henty*****;database=DB_jiaotongPre" />
-->
<configuration>
	<appSettings/>
	<connectionStrings>
		<add name="SQL2000" connectionString="server=10.6.18.2;uid=zcsc;pwd=*****;database=DB_Tea"/>

密码都做了马赛克

漏洞证明：

http://www.teachina.com/up/
目录遍历
http://www.teachina.com/up/20131109210255.asp（密码：8888）
http://www.teachina.com/up/20120503164837.aspx （密码：xxoo）

默认网站 WEBSERVER\Administrator info@tuhsu :80: c:\inetpub\wwwroot
cofcospice WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\cofcospice
spice WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\新建文件夹\cofcospice
teatrade WEBSERVER\Administrator info@tuhsu 10.6.132.3:80: D:\teatrade
xlsurvey WEBSERVER\Administrator info@tuhsu 10.6.132.5:80: D:\中粮调查问卷代码\last
oldinweb WEBSERVER\Administrator info@tuhsu 172.16.10.200:8001: D:\web\inweb
Microsoft SharePoint 管理 WEBSERVER\Administrtor info@tuhsu :6113: C:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\50\isapi\_vti_adm
newweb WEBSERVER\Administrator info@tuhsu 10.6.132.1:80: D:\newwebsite
OfficeScan WEBSERVER\Administrator info@tuhsu 192.168.1.4:8080: C:\Program Files\Trend Micro\OfficeScan\PCCSRV\WEB
xiangliao WEBSERVER\Administrator info@tuhsu 10.6.132.4:80: D:\chem
chinatea WEBSERVER\Administrator info@tuhsu 10.6.132.2:80: D:\chinatea
CofcoHealth WEBSERVER\Administrator info@tuhsu 10.6.132.6:80: D:\CofcoHealth
newoutweb WEBSERVER\Administrator info@tuhsu 192.168.1.4:80: D:\web\outweb
BBS WEBSERVER\Administrator info@tuhsu 10.6.132.7:80: D:\newwebsite\TUHSUBBS

D:\chinatea\up\> ipconfig
Windows IP Configuration
Ethernet adapter EXT:
   Media State . . . . . . . . . . . : Media disconnected
Ethernet adapter INT:
   Connection-specific DNS Suffix  . : 
   IP Address. . . . . . . . . . . . : 10.6.132.7
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.6
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.5
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.4
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.3
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : 10.6.132.1
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.6.132.254

上面包含了很多网站
http://www.cofco-health.com/
http://www.tuhsu.com.cn/
http://www.teachina.com/
http://chinatea.com.cn/

<add name="heiyu173ConnectionString" connectionString="data source=10.6.18.2;User ID=heiyu200_f;pwd=he*****;Initial Catalog=heiyu200"></add>
http://www.cofco-health.com/
    <add name="lineConnection" connectionString="Data Source=10.6.18.2; database=webthink_zl; User id=xlgs; Password=xlgs*****"/>
uid=sa;pwd=wei;database=DB_CMS" />
    <add name="SQL2000" connectionString="server=211.144.157.203;uid=DB_jiaotongPre_f;pwd=henty*****;database=DB_jiaotongPre" />
-->
<configuration>
	<appSettings/>
	<connectionStrings>
		<add name="SQL2000" connectionString="server=10.6.18.2;uid=zcsc;pwd=*****;database=DB_Tea"/>

密码都做了马赛克

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2015-07-15 14:51

厂商回复：

非常感谢！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126857

漏洞标题：中粮某站Getshell涉及多个其他业务子站

相关厂商：中粮集团有限公司

漏洞作者：路人甲

提交时间：2015-07-15 09:28

修复时间：2015-08-29 14:52

公开时间：2015-08-29 14:52

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126857

漏洞标题：中粮某站Getshell涉及多个其他业务子站

相关厂商：中粮集团有限公司

漏洞作者： 路人甲

提交时间：2015-07-15 09:28

修复时间：2015-08-29 14:52

公开时间：2015-08-29 14:52

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0126857"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云