当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149234

漏洞标题:上海市第一人民医院旁站之上传到0ady到getshell的过程(部分数据泄漏)

相关厂商:上海市第一人民医院

漏洞作者: 剑影

提交时间:2015-10-25 10:09

修复时间:2015-12-13 09:56

公开时间:2015-12-13 09:56

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-25: 细节已通知厂商并且等待厂商处理中
2015-10-29: 厂商已经确认,细节仅向厂商公开
2015-11-08: 细节向核心白帽子及相关领域专家公开
2015-11-18: 细节向普通白帽子公开
2015-11-28: 细节向实习白帽子公开
2015-12-13: 细节向公众公开

简要描述:

默默的。。。

详细说明:

主站:**.**.**.**
首先,找到一个存在问题的旁站!
**.**.**.**
用工具扫描,发现一出上传地址!
http://**.**.**.**/UploadFile/Index/
上传了asa不行 尝试cer 成功 上传后需要等待一会才能访问成功
shell:http://**.**.**.**/updown\1510\24200659.cer
密码:jianying
一句话:http://**.**.**.**/updown/1510/24201717.cer
密码:jy
可以跨站点,成功跨到了上海第一人民医院的目录!

41.png


挖掘到了一个越权的0day!
上传地址:AdEditor/popups/insert_hyperlink.html
拿下其旁站的又一个医院
一句话:http://**.**.**.**//upload/doc/201510/24204744.cer
密码:jy
网站:文件夹:D:\125_E_tuoguan\六院2014\uploadsource 可读,可写。
在测试中,网站突然出现503

45.png


一下图为证明,通过可读可写目录上传aspx

43.png


44.png


其他网站也同样,那个目录可以写shell。
其中某旁站还可以访问,没出现503,那么我就用这个来进行继续!
http://**.**.**.**//upload/doc/201510/24204744.cer 密码:jy
许多网站

46.png


6院数据

47.png


数据库连接信息:

<add name="sqlstr" connectionString="data source=**.**.**.**;user id=webuser_6thnew;password=,hswl@58919bmw%;database=hsweb6th"/>


漏洞证明:

主站:**.**.**.**
首先,找到一个存在问题的旁站!
**.**.**.**
用工具扫描,发现一出上传地址!
http://**.**.**.**/UploadFile/Index/
上传了asa不行 尝试cer 成功 上传后需要等待一会才能访问成功
shell:http://**.**.**.**/updown\1510\24200659.cer
密码:jianying
一句话:http://**.**.**.**/updown/1510/24201717.cer
密码:jy
可以跨站点,成功跨到了上海第一人民医院的目录!

41.png


挖掘到了一个越权的0day!
上传地址:AdEditor/popups/insert_hyperlink.html
拿下其旁站的又一个医院
一句话:http://**.**.**.**//upload/doc/201510/24204744.cer
密码:jy
网站:文件夹:D:\125_E_tuoguan\六院2014\uploadsource 可读,可写。
在测试中,网站突然出现503

45.png


一下图为证明,通过可读可写目录上传aspx

43.png


44.png


其他网站也同样,那个目录可以写shell。
其中某旁站还可以访问,没出现503,那么我就用这个来进行继续!
http://**.**.**.**//upload/doc/201510/24204744.cer 密码:jy
许多网站

46.png


6院数据

47.png


数据库连接信息:

<add name="sqlstr" connectionString="data source=**.**.**.**;user id=webuser_6thnew;password=,hswl@58919bmw%;database=hsweb6th"/>


修复方案:

编辑器加以权限,上传目录做修改!

版权声明:转载请注明来源 剑影@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-10-29 09:55

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置。

最新状态:

暂无