漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-026232
漏洞标题:我是如何沦陷ChinaZ下载站服务器的,可登录3389、篡改源码等
相关厂商:站长之家
漏洞作者: 牛奶坦克
提交时间:2013-06-18 15:24
修复时间:2013-06-23 15:24
公开时间:2013-06-23 15:24
漏洞类型:系统/服务运维配置不当
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-18: 细节已通知厂商并且等待厂商处理中
2013-06-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
测试的源头来自我很好奇为啥Chinaz上的源码总是可能被人放后门,源码下载站的安全情况到底如何?
测试结果:
从最开始某个漏洞Down掉了chinaz下载站的整站源码(down.chinaz.com),然后打开的第一个文件就发现了一处由于理解问题导致的安全漏洞。。。最终获取了服务器管理员权限,找到修改后的3389端口,成功登录远程服务器!
PS:具体看细节吧,源码包篡改什么你们懂。。厂商速度处理,很严重。
PS2:几个测试文件和帐号都已经清理,现在网站和服务器依然纯洁。
详细说明:
从chinaz主站的网段中找到了一台服务器,这台服务器开了rsync,而且匿名即可访问与下载(后来证明这台服务器就是down的服务器)。
排除了一些静态文件目录,导出一些ASP的脚本文件,看web.config,有数据库密码信息
发现有个“zczamzk”目录,是个奇怪的后台,看样子功能强大
但没密码,准备挖挖源码看看有漏洞木,结果打开的第一个文件就发现有问题:
articleid看似做了处理,是针对字符型变量的过滤,但是下面真正的语句是整形的,呵,可以注射
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=1
http://down.chinaz.com/xq.asp?action=show&articleid=123%20and%201=2
懒人用sqlmap跑。。(dbo.DP_Administrator:adminname,adminpassword)
md5给秒破了,成功登录到后台
源码下载服务器等
漏洞证明:
拿shell吧,有个很常见的文章管理功能,上传文件,这里尝试了几次,只拿可行的检测结果证明,只需上传个名为”1.asp;.zip“的文件,利用IIS解析漏洞即可。
写个.net大马进去,哦了
用了个最新的Windows提权程序,秒了服务器管理员权限
(怕其他人发现这个账户,测试完就给删除了)
最后做个简单的小证明吧:http://down.chinaz.com/wooyun.txt
修复方案:
都在细节里了
版权声明:转载请注明来源 牛奶坦克@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-06-23 15:24
厂商回复:
漏洞Rank:20 (WooYun评价)
最新状态:
暂无