当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-021090

漏洞标题:山西省地方税务局网站任意文件上传导致命令执行,system权限,内网服务器详细敏感信息泄露

相关厂商:山西省地方税务局

漏洞作者: adwin

提交时间:2013-04-01 18:45

修复时间:2013-05-16 18:45

公开时间:2013-05-16 18:45

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-01: 细节已通知厂商并且等待厂商处理中
2013-04-03: 厂商已经确认,细节仅向厂商公开
2013-04-13: 细节向核心白帽子及相关领域专家公开
2013-04-23: 细节向普通白帽子公开
2013-05-03: 细节向实习白帽子公开
2013-05-16: 细节向公众公开

简要描述:

= =,这样标题够长了么。

详细说明:

首先发现此站可以列目录,列到一down的目录,直觉会有好东西粗线
http://www.sxs-l-tax.gov.cn/webadmin/down/downfile/
果然,男人的直觉也很准。

同昌科技机房服务器一览表.doc


先down下来留着,一会慢慢看,列了一下其他的目录,然后又直觉很准的列到了FCK
http://www.sxs-l-tax.gov.cn/library/
此处发现FCK的目录,果断进去,直觉可以任意文件上传,然后直觉必须很准的直接上传jsp webshell
win的主机,然后又直觉很准的一定是system

1.jpg


然后又直觉这台机器配置肯定不错,结果一个systeminfo给我吓尿了。。。

1.jpg


对,你没看错,物理内存不是6G,不是6G,是60+G!

漏洞证明:

刚才提到一个《同昌科技机房服务器一览表.doc》
都是内网服务器的详细配置信息,内容如下:

同昌科技机房服务器一览表
服务器类型	华为HuaWei Tecal 8000刀片式服务器
CPU	Intel(R) Xeon(R) CPU 5130 @ 2.00GHZ (双核,双CPU)
内存	4G内存
硬盘	72G双硬盘,Raid-1
IP分布	192.168.100.1~192.168.100.6
服务器类型	戴尔Dell PowerEdge 1800 立式服务器
CPU	Intel(R) Xeon(TM) CPU 3.20GHZ  (双核,双CPU)
内存	1G内存
硬盘	146G 三硬盘,Raid-5
IP分布	192.168.1.100
服务器类型	戴尔Dell储器PowerEdge SC1425 机架式服务器
CPU	Intel(R) Xeon(TM) CPU 3.20GHZ (单核,双CPU)
内存	1G内存
硬盘	72G双硬盘,Raid-1
IP分布	192.168.100.200,192.168.100.7
内网IP及端口与外网IP及端口对应表
内网IP	内网端口	外网IP	外网端口	实现的应用
192.168.100.1	1521	218.26.251.125	5555	Oracle数据库监听端口
192.168.100.2	80	218.26.251.124	80	www服务端口
192.168.100.200	80	218.26.251.122	80	www服务端口
192.168.100.7	80	218.26.251.123	80	www服务端口
192.168.100.200	81	218.26.251.122	81	www 服务端口(晋路网站)
192.168.100.2	3389	218.26.251.124	1234	远程桌面连接端口
192.168.100.2	1433	218.26.251.124	1433	SQL SERVER服务端口
各类服务器应用对照表
计算机名	sxmjwlserver1	IP	192.168.100.1
用户名	root	密码	system
用户名	oracle	密码	oracle
实现的应用	Oracle 10g数据库服务
用户名	sys	密码	systemmanager
用户名	system	密码	systemmanager
用户名	密码	表空间名	实现的应用
			
			
			
			
计算机名		IP	192.168.100.2
用户名	tpc_admin0	密码	tpc_server124
实现的应用	SQL Server数据库服务
用户名	sa	密码	
用户名	密码	数据库名	实现的应用
			
			
			
			
实现的应用	Tomcat Web应用服务
域名	实现的应用	网站目录路径名
		
		
		
		
计算机名	Sxmjwlserver3	IP	192.168.100.3
用户名	administrator	密码	a
实现的应用	测试使用
			
			
计算机名		IP	192.168.100.4
用户名	administrator	密码	94zhegemima
实现的应用	测试使用
			
			
计算机名		IP	192.168.100.5
用户名	administrator	密码	94zhegemima
实现的应用	未使用
			
			
计算机名		IP	192.168.100.6
用户名	administrator	密码	94zhegemima
实现的应用	未使用
			
			
计算机名		IP	192.168.1.100
用户名	administrator	密码	tpc
实现的应用	Tomcat Web应用
访问路径	实现的应用	网站目录路径名
		
		
		
		
实现的应用	Oracle 9i 数据库服务
用户名	sys	密码	sys
用户名	system	密码	system
用户名	密码	表空间	实现的应用
			
			
			
			
计算机名	Mailserver	IP	192.168.100.7
用户名	root	密码	System
实现的应用	Mysql数据库服务
用户名	密码	数据库名	实现的应用
			
			
			
实现的应用	Tomcat Web服务
域名	实现的应用	网站目录路径名
		
		
		
计算机名	tpcsoft	IP	192.168.100.200
用户名	administrator	密码	Tpc
实现的应用	SqlServer 数据库服务
用户名	sa	密码	
用户名	密码	数据库名	实现的应用
			
			
			
			
实现的应用	IIS web网站服务
域名	实现的应用	网站目录路径名
		
		
		
		
实现的应用	Tomcat We网站服务
域名	实现的应用	网站目录路径名
		
		
		
		
		
实现的应用

修复方案:

内啥,别跨我,我啥也没干,老老实实的来提交了。
天朝人才济济,修复我看我还是不班门弄斧了。

版权声明:转载请注明来源 adwin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-04-03 14:23

厂商回复:

CNVD确认并复现所述情况(此前未找到精确路径,耽误了一些测试时间),致谢白帽子后续提供的测试入口。已在3日转发CNCERT山西分中心,由其协调网站管理方处置。
按部分影响机密性、可用性、完整性进行评分,rank=7.48*1.1*1.5=12.342,对于信息泄露事件,rank另加2

最新状态:

暂无