当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136147

漏洞标题:江西理工大学某财物系统任意文件上传导致任意代码执行

相关厂商:cncert国家互联网应急中心

漏洞作者: p0di

提交时间:2015-08-25 20:29

修复时间:2015-10-11 00:04

公开时间:2015-10-11 00:04

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-25: 细节已通知厂商并且等待厂商处理中
2015-08-27: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-09-06: 细节向核心白帽子及相关领域专家公开
2015-09-16: 细节向普通白帽子公开
2015-09-26: 细节向实习白帽子公开
2015-10-11: 细节向公众公开

简要描述:

某天打开菜刀点找shell用,发现shell已被删而引发的更惨痛的故事

详细说明:

江西理工大学财务两台服务器被控里面的数据…………
某天打开菜刀随便点了个shell发现已404.[失误没有更改和做深层次的隐藏导致shell丢失]这个机器数据肯定也很多。

http://**.**.**.**/noticespic/da20142019102046.jsp


具体怎样拿到的wooyun search 一卡通。我想把它找回来(当时没注意这个学校)一般搜索之后发现洞补了。而且这个站补的很干净,原本真的只是想找个shell用[先换了个其他的测试点东西]。后来抽空看了下该学校发现了一些问题
原本是想冲mail去,后来在乌云看了好多帖子发现eyou的洞他们竟然也补了……管理员看来还不错。

**.**.**.**


可下面的一些列事就实在不敢恭维了……
mail失败后用google 找到几个登陆口和C段的一些信息挑了一个觉得能下手的机器。

**.**.**.**:82/


后来选择了这个

弱口令.png


回到之前那个一卡通寻到了一个丢失卡信息的账号尝试登陆。结果成功…………

info.png


进去之后翻了一会找到了上传点getshell。(资产管理处和这个一个团队开发的吧?)

get_shell2.png


getshell之后菜刀连之。一看配置文件结果吓尿了……

webconfig_sa_pwd.jpg


看缩写CWC、CWCPUB2
连接了两个果然里面有很多数据。

database1.png

database2.png


两台机器其中一个能执行命令[cwc server 2003]看了下机器的一些信息,原本打算通过bat ftp上马然后把端口转出来。后来猜测这个机器应该是禁止数据外联。

数据禁止外联.png


CWCPUB2 不让执行命令,没尝试修改主机任何数据和配置没做相关dll恢复。
每个裤里面有很多表,本想翻一下找点东西,结果字段全拼音,顿时失去兴趣…………
cwcpub2文件权限卡的很死,菜刀禁止上传和下载任何东西。后来用菜刀进行了目录比对发现cwcpub2就是当前shell主机2008 r2。

目录比对.png


因为没改数据库的配置所以没抓hash。不过根据翻他们文件和一些命令(共享一些配置文件等)返回情况判断内网是及其脆弱的。估计又是一个密码通杀,或者是有一定规律。
其他:

http://**.**.**.**/bugs/wooyun-2010-096354


该漏洞仍未修复shell:

**.**.**.**/lemlab/css.jsp(one.jsp)

拉登哥哥的马
看了下还有很多ewebeditor、fckeditor、未加验证码的后台、列目录、资产管理处、图书馆、什么研究所等都弱口令和上传点。几个tomcat竟然都是

漏洞证明:

数据太多看了下数据库恶心的不想翻了。简单截几张图。通过sa看了一些卡目录的文件

财政数据.png


162_desktop.png


这只是其中一裤里面的一个表。我要慢慢翻估计能当会计……

4w+.png

mm.jpg


这个只是20个我没脱裤。

by20.png


看江西理工的几乎都忽略了,这个财务信息为主的不知道会不会

修复方案:

1.严格控制账户权限一sa到底到最后傻了吧
2.上传点白名单、服务端验证、重命名、路径检测非法字符等。
3.弱口令的事能不能不这么直接。比如身份证或者后几位或者只让学校内部知道。
4.另外你们主站、邮件等网站放一个"新建文件夹.rar"真的好吗?
后来想一下机器其实卡的都挺死,就是上传点和内部也太含糊了。
原本打算深入看更多的机器,后来觉得这个里面好像信息已经很多了:资金、账户、住宿、学号、教职工号等……看来以后撸大学不能之撸mail和jwc了.
码字比撸站都累

版权声明:转载请注明来源 p0di@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-08-27 00:04

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给赛尔教育,由其后续协调网站管理单位处置。

最新状态:

暂无