150个企业站群网站存在任意上传漏洞 | wooyun-2014-062220| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062220

漏洞标题：150个企业站群网站存在任意上传漏洞

漏洞作者：路人甲

提交时间：2014-05-25 19:21

修复时间：2014-07-09 19:22

公开时间：2014-07-09 19:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-25：细节已通知厂商并且等待厂商处理中
2014-05-30：厂商已经确认，细节仅向厂商公开
2014-06-09：细节向核心白帽子及相关领域专家公开
2014-06-19：细节向普通白帽子公开
2014-06-29：细节向实习白帽子公开
2014-07-09：细节向公众公开

简要描述：

好多啊，都被用来做菠菜了！

详细说明：

我粗略统计了一下，累死我了！

www.dghyjz.com
hongqingzhi.com
junxinsheng.com
www.hongqingzhi.com
www.shengxianmj.com
www.kebian.net
www.xinpeng168.com
www.dgxyyq.net
www.gddspjs.com
dgjiyi.com
fgchangfang.com
dgdezhou.com
dgsgjx.com
baoguang168.com
dgxlwl.com
tianfeng666.com
www.0769xs.net
www.hsfzy.com
www.dgjianlifz.com
dgxinxinjn.com
www.dgdezheng.com
www.juxingyp.com
dgyhss88.com
dgyinzi.com
www.15818366850.com
dgrjzy.com
www.dgrjzy.com
szbafwgs.com
www.tianfeng666.com
www.dgsanduo.com
www.szbafwgs.com
www.dghkbz.com
www.shifeng-china.com
www.dgqyzc.com
csssm.com
dgjunye.com
dgdezheng.com
543315.com
usagihime.com
skyopus.com
aobaobao.com
jfun.hk
24hzb.com
funvweiquan.com
szhsy888.cn
yccable.cn
ants.hk
girlwell.com
honcky-hk.com
81180.cn
fsao.com.cn
sxjlbxg.com
bujiang.cn
wanscam.com
gemcenter.cn
szjmglass.com
weiyenaihuo.com
ivytv.com.cn
0769bl.com
godmobi.com
zgzj2008.com
cqmingzhu.com
becomepartnership.com
goldsunhongkong.com
0571xcw.com
tsas.com.cn
hihkc.com
qiumengtea.com
jssxzm.com
hdlt.com
hzfjddb.com
bigbigdog.com
crownsney.cn
fairink.com
lookhouse.cn
zbanker.com
lemoworld.com
jxwqly.cn
spmled.com
0512zdshj.com
happyun.com
gzszl.net
hkyuxin.com
zqgoogle.com
bolning.com
rainweb.cn
jjnice.com
qidian80.net
gzfangyi.com
sensorbbs.com
hzbaoma.com
zldesigner.com
winzeng.com
boqi123.com
sxhuanxin.com
shenlemotor.com
tyjpjj.com
qdkaitai.com
jolonchinesetea.com
getingjiafang.com
coolwenzi.com
lihuachina.com
mustups.net
syips.com
cqxingguang.com
sz-kdl.com
jiaoyouquan.cn
cx-shenghe.com
xtjd.com
niaosuan.cn
u6z.net
hbeqqzj.com
dvdtw.com
dzhxzx.com
biroom.com
goodwind.cc
isaylove.net
dhlzir.com
qibeishui.com
www.wonderachem.com
www.jilongjixie.com
www.aubiter.com
www.guanshenhuagong.com
www.dongjun2000.com
www.dgqifei.com
www.gdfeiyu.com
www.xqjx100.com
dgddjt.com
www.haoyutest.com
dgdonglin.com
www.dgddjt.com
march168.com
huayueqp.com
dgbzcc.com
weimaosi.com
www.shunyuanjc.com
www.0769huixin.com
dgqmjx.net
www.dgyinfa.com
gdfeiyu.com
jqzrc.com
jwzhs.com
longwei168.com
www.0769liangfa.com
www.keqin88.com
www.cppdg.com
hphp888.com
www.wanyangxc.com
0769huixin.com
www.dgfs68.com

http://*web*/upfileform.asp
然后利用IIS6解析漏洞上传即可！

漏洞证明：

这四个就是统计的站群其中之一！

修复方案：

过滤上传格式！

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-05-30 10:46

厂商回复：

CNVD确认并复现所述情况，由CNVD通过公开渠道向东莞市邦邻信息科技有限公司刘女士通报处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062220

漏洞标题：150个企业站群网站存在任意上传漏洞

相关厂商：企业站群

漏洞作者：路人甲

提交时间：2014-05-25 19:21

修复时间：2014-07-09 19:22

公开时间：2014-07-09 19:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-062220

漏洞标题：150个企业站群网站存在任意上传漏洞

相关厂商：企业站群

漏洞作者： 路人甲

提交时间：2014-05-25 19:21

修复时间：2014-07-09 19:22

公开时间：2014-07-09 19:22

漏洞类型：成功的入侵事件

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-062220"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云