漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-061895
漏洞标题:湖南某地区大量政府网站使用编辑器(fck)存在上传漏洞
相关厂商:政府事业单位
漏洞作者: 小杰
提交时间:2014-05-22 18:03
修复时间:2014-07-06 18:03
公开时间:2014-07-06 18:03
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-22: 细节已通知厂商并且等待厂商处理中
2014-05-27: 厂商已经确认,细节仅向厂商公开
2014-06-06: 细节向核心白帽子及相关领域专家公开
2014-06-16: 细节向普通白帽子公开
2014-06-26: 细节向实习白帽子公开
2014-07-06: 细节向公众公开
简要描述:
湖南某地区网站建设商使用编辑器(fck)存在上传漏洞可通用getshell,危及大量地区政府、事业单位网站。
ps:能给我一个邀请码吗、、、、本人很想加入乌云。
详细说明:
湖南株洲攸县网站建设商:http://www.yx667.com/(攸县生活网)
该建站方使用了Fckeditor编辑器并存在漏洞
1,扫描网站敏感文件发现存在fck编辑器的默认文件
2,使用该地址
可以访问,那我们新建一个文件夹
文件夹新建成功,那我们就可以构造一个提交页面提交我们的shell图片
页面构造代码:
提交shell图片获得返回的图片新名称
然后就可以拼接出我们的shell地址了http://www.hnyxrk.com/upload/Media/shell.asp/20142722042707.jpg
用菜刀连接
注:这个建站商名下的所有网站基本都可以通过以上方式获取shell,其中包括大量当地的政府及事业单位网站。
漏洞证明:
其他以shell地址:
http://www.hnyxjw.gov.cn/upload/Media/shell.asp/20143722013738.jpg
http://www.hnyxdj.gov.cn/upimage/Media/shell.asp/xiaojie.jpg
http://www.hnyxfg.gov.cn/upload/Media/shell.asp/20141822021809.jpg
http://www.yxlyj.com/upload/Media/shell.asp/20145022025042.jpg
http://www.hnyxgh.com/upload/Media/shell.asp/20141022031056.jpg
密码都是xiaojie
还有很多网站我没有试相信情况都是一样的,而且大部分网站已经有人入侵过了。
修复方案:
这个Fckeditor上传漏洞出来很久了,修复方案就不用我多说了,尽快修复吧。
再次ps:能给我一个邀请码吗、、、、本人很想加入乌云。
版权声明:转载请注明来源 小杰@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2014-05-27 13:41
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给湖南分中心处置。
最新状态:
暂无