当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051405

漏洞标题:华淘网络科技客户网站下载漏洞利用到控制站点服务器(里面有41个商业网站)

相关厂商:上海华淘网络科技有限公司

漏洞作者: Tank

提交时间:2014-02-21 11:48

修复时间:2014-04-07 11:48

公开时间:2014-04-07 11:48

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-02-21: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-04-07: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一窝端呀,由一个商业站点的下载漏洞利用,到控制服务器,可修改任意其它网站的主页,差不多有40多个站,拥有root账户,后台数据库的数据也可任意访问修改。

详细说明:

该网站由北京一家专门做网站的公司制作,该公司有一台服务器,给公司做的网站差不多都放在这台服务器上,由于其中一个网站有漏洞,可下载/etc/shadow密码文件,通过破解密码后,用ssh登陆,破解的账号拥有写权限,因此可任意删除、修改其它网站的主页。通过查看数据库连接配置文件,获得密码后,也能任意操纵后台数据库的数据(root用户)。神马隐私数据,企业秘密了都变成浮云了

漏洞证明:

http://en.boteli.com/Download_file.jsp?upfile_name=../../../../../../etc/shadow
通过下载的文件,破解获得一个zxy用户的密码
在Linux命令行用ssh远程登陆, 如下图

.png


通过查看,找到其它网站存放的路径,如图所示,采用的是tomcat,在webapps目录下有很多的网站

1.png


随便进入一个网站,在classes目录下找到了配置数据库字符串的配置文件,database.properties,用more命令可以看到,使用的mysql数据库,数据库也在服务器本机上。

4a.png


在拿到密码后,用mysql -u root -p 密码 进入数据库,用show databases命令查看,好家伙有41个数据库,那就表明该服务器上挂了41个商业网站

showdatabase.png


我们随便进入一个验证,拿kaitai吧

showtables.png


showfields.png


看到一个admin表,里面肯定是存的是后台登陆的用户名和密码,查询一下,晕,又是弱口令!

showcontext.png


用从数据库拿到用户名和密码登陆后台

loginsite.png


这么多的漏洞证明截图,估计那公司的负责人看到了也会后背发凉,如果是一个恶意的黑客进行入侵,将这么多的网站删除,数据删除,那就意味这家公司损失大量的客户,没有了客户就没有钱吃饭了,而且以后客户也不会再敢找你做网站了,信息安全能够导致一家互联网的倒闭决不是危言耸听!

修复方案:

加强程序员的安全编码意识,如有需要请招聘网络信息安全工程师专门负责信息安全。

版权声明:转载请注明来源 Tank@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝