当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022973

漏洞标题:160W+中国造血干细胞捐献者资料总库可被渗透(马伊俐,厉娜,温兆伦等明星继续中枪)

相关厂商:中国红十字会

漏洞作者: Z-0ne

提交时间:2013-05-03 10:14

修复时间:2013-06-17 10:14

公开时间:2013-06-17 10:14

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-03: 细节已通知厂商并且等待厂商处理中
2013-05-07: 厂商已经确认,细节仅向厂商公开
2013-05-17: 细节向核心白帽子及相关领域专家公开
2013-05-27: 细节向普通白帽子公开
2013-06-06: 细节向实习白帽子公开
2013-06-17: 细节向公众公开

简要描述:

上次那10W+只是一个地区分库的资料,这次讲讲如何渗透到总库的,160W+个人详细资料,HLA配型资料等,不多说,大家都懂的
继上一批王小丫,鞠萍等捐献及个人详细资料泄露,这次所有人可全悲剧了
关于中国造血干细胞捐献者资料库
http://baike.baidu.com/view/3172925.htm
新闻连接
http://news.baidu.com/ns?word=%D6%D0%BB%AA%B9%C7%CB%E8%BF%E2&tn=news
话说要带上几个公众人物才有影响力么?,→_→ 总之一切有图有真相

详细说明:

涉事地址将通过私信抄送cncert
0,获取到总库WEB管理地址后首先尝试admin,user,test,0001,bj,china等等等等账户以及多种常规密码组合,结果未果

0.0.jpg


1,这里一番折腾后突然想到了分库中的用户命名规则一般是姓名拼音第一个字母的缩写或者是直接姓名或地区的缩写,想一想总库上面可能同样也是如此,然后对骨髓库的领导百度了一把,如图

0.jpg


2,在使用百度到的领导拼音缩写作为用户名,用弱口令尝试了几次,成功登录,不过权限显然只是某个分库的负责人,如图

1.jpg


3,在上图发现了可爱的eWebEditor,顺手看了一下源码,找到路径加上login.jsp,后台就出来了,使用admin/admin成功登录

3.jpg


4.jpg


4,通过修改图片的上传类型,解除对上传文件的限制,连接上模板......./eWebEditor/ewebeditor.jsp?id=content&style=full,成功上传shell

5.jpg


6.jpg


6_1.jpg


7.jpg


5,目标使用oracle库站分离,获取到数据库的信息后使用oracle连接工具成功连接到了数据库,首先SELECT * FROM USER_TABLES查看了一下用户表的情况,表的数量比较庞大,不过发现了某些表的NUM_ROWS高达160W+,进而确认了捐献者资料存放表的位置

8.jpg


6,select count(*) from TB_VOLU_DATA 计算了一下行数,又用SELECT * FROM TB_USER where USER_NAME = 'admin',获取了管理员的未加密密码

9.jpg


10.jpg


7,以管理员身份成功登录总库系统,确认查询功能,以及库中捐献者资料

11.jpg

漏洞证明:

0.jpg


1.jpg


2.jpg


3.jpg


4.jpg

修复方案:

完整阉割第三方编辑器
上传目录禁止脚本执行
加强安全意识
修改所有弱口令用户密码

版权声明:转载请注明来源 Z-0ne@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-05-07 22:21

厂商回复:

CNVD确认并复现所述情况,终于在7日下午通过公开联系渠道联系上网站管理方负责人老师,已对漏洞情况进行预警。
按信息泄露风险进行评估,rank 18

最新状态:

暂无