当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094308

漏洞标题:某省建设工程投标站被入侵

相关厂商:cncert国家互联网应急中心

漏洞作者: 酷帥王子

提交时间:2015-01-28 16:51

修复时间:2015-03-14 16:52

公开时间:2015-03-14 16:52

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-28: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商已经确认,细节仅向厂商公开
2015-02-12: 细节向核心白帽子及相关领域专家公开
2015-02-22: 细节向普通白帽子公开
2015-03-04: 细节向实习白帽子公开
2015-03-14: 细节向公众公开

简要描述:

由整站全部是注入点引发的一次黑盒测试,成功拿下网站服务器

详细说明:

sqlmap测试注入点为http://www.sxztbw.cn:20046/newsDetail.jsp?id=10 mssql dba权限,用最新版的sqlmap发现不能使用--os-shell执行命令,提示不支持,差点就放弃,后来经过多次测试,用一个旧版本可以成功执行,既然权限是system,那么问题就简单了,思路是找到web绝对路径,那么就用 dir /S /D 命令找,先用网站上传点上传一个jsp的jpg文件,然后执行 dir /S /D d:\2014050xxoo.jpg <1.txt
这里只是举个例子,然后执行结果就在system32目录下,用type命令可以查询,我这里执行回显了如图:

1.jpg


注: dir /S /D d:\2014050xxoo.jpg <1.txt 这里可以分别列c、d、e都可以列,这个命令适合注入点为盲注,速度慢的时候,这个命令还是相当快速的。。

2.png


获取到网站路径,由于权限是system,可以直接用copy命令改jpg为jsp或者想要的格式
如图:

3.jpg


注意:有空格和&连接符的时候记得要把路径用双引号括起来,否则不成功
然后用lcx反弹出来,激活guest账号进服务器,内网服务器很卡,其实还可以试试sqlmap的另一个上传方法上传,因为权限大嘛,笔者在这里就不做测试了。。。
如图:

4.jpg

漏洞证明:

4.jpg

修复方案:

请管理员尽快修复吧,最好换一套CMS,这个漏洞实在太多了,还有列目录漏洞,不过上传漏洞倒是不存在,笔者已测试,笔者没什么恶意,请管理员自行清理后门程序。。。

版权声明:转载请注明来源 酷帥王子@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-02-02 08:44

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给山西分中心,由其后续协调网站管理单位处置.

最新状态:

暂无