当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026232

漏洞标题:我是如何沦陷ChinaZ下载站服务器的,可登录3389、篡改源码等

相关厂商:站长之家

漏洞作者: 牛奶坦克

提交时间:2013-06-18 15:24

修复时间:2013-06-23 15:24

公开时间:2013-06-23 15:24

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-18: 细节已通知厂商并且等待厂商处理中
2013-06-23: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

测试的源头来自我很好奇为啥Chinaz上的源码总是可能被人放后门,源码下载站的安全情况到底如何?
测试结果:
从最开始某个漏洞Down掉了chinaz下载站的整站源码(down.chinaz.com),然后打开的第一个文件就发现了一处由于理解问题导致的安全漏洞。。。最终获取了服务器管理员权限,找到修改后的3389端口,成功登录远程服务器!
PS:具体看细节吧,源码包篡改什么你们懂。。厂商速度处理,很严重。
PS2:几个测试文件和帐号都已经清理,现在网站和服务器依然纯洁。

详细说明:

从chinaz主站的网段中找到了一台服务器,这台服务器开了rsync,而且匿名即可访问与下载(后来证明这台服务器就是down的服务器)。

c0.png


排除了一些静态文件目录,导出一些ASP的脚本文件,看web.config,有数据库密码信息

c0.1.png


发现有个“zczamzk”目录,是个奇怪的后台,看样子功能强大

c0.2.png


但没密码,准备挖挖源码看看有漏洞木,结果打开的第一个文件就发现有问题:

action = Replace(Trim(Request.QueryString("action")),"'","")
articleid = Replace(Trim(Request.QueryString("articleid")),"'","")
typee = Replace(Trim(Request.QueryString("typee")),"'","")
if action="show" then
set rs=server.createobject("adodb.recordset")
sql="Select * From DP_Mood Where articleid="&articleid&""
rs.open sql,conn,1,3
If Not(rs.Eof And rs.Bof) Then


articleid看似做了处理,是针对字符型变量的过滤,但是下面真正的语句是整形的,呵,可以注射
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=1
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=2
懒人用sqlmap跑。。(dbo.DP_Administrator:adminname,adminpassword)

c0.3.png


md5给秒破了,成功登录到后台

c1.png


c1.1.png


源码下载服务器等

c1.3.png

漏洞证明:

拿shell吧,有个很常见的文章管理功能,上传文件,这里尝试了几次,只拿可行的检测结果证明,只需上传个名为”1.asp;.zip“的文件,利用IIS解析漏洞即可。

c1.2.png


写个.net大马进去,哦了

c2.png


用了个最新的Windows提权程序,秒了服务器管理员权限

c3.png


c4.png


(怕其他人发现这个账户,测试完就给删除了)
最后做个简单的小证明吧:http://down.chinaz.com/wooyun.txt

c5.png

修复方案:

都在细节里了

版权声明:转载请注明来源 牛奶坦克@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-06-23 15:24

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

暂无