漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0102792
漏洞标题:某企业建站程序多个漏洞影响大量网站
相关厂商:佛山市天博网络科技有限公司
漏洞作者: Ch丶0nly
提交时间:2015-03-26 14:36
修复时间:2015-05-10 14:38
公开时间:2015-05-10 14:38
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
某企业建站程序多个漏洞影响大量网站
详细说明:
佛山市天博网络科技有限公司(原缘网设计)成立于2006年,拥有多年的网站建设经验,是集网站策划、网站功能模块开发、网站美工设计、网站程序开发等专业化运作于一体的运营团队,具备承接各种规模和类型的网站设计和开发能力。为客户提供的服务项目包括:网站建设、微网站设计、微商城建设、微信营销、网站优化(SEO)、网站推广、域名申请、空间租用等,曾先后多家知名企业和机构提供了一流的网站策划和设计服务,成功帮助客户取得了良好的市场效益,获得了客户的一致好评。
官网:http://www.yuanweb.cn
漏洞证明:
该建站程序存在多处任意上传漏洞 无需登录
http://www.fsfa2008.com/admin/upfile.asp
http://www.fsfa2008.com/admin/UpFilePhoto.asp
后门地址:http://www.fsfa2008.com/admin/diy.asp
http://www.gzguojing.com/admin/UpFilePhoto.asp
http://www.gzguojing.com/admin/upfile.asp
后门地址:http://www.gzguojing.com/admin/diy.asp
http://www.fskuanpu.com/admin/UpFilePhoto.asp
http://www.fskuanpu.com/admin/upfile.asp
后门地址:http://www.fskuanpu.com/admin/diy.asp
http://www.fschuangyou.com/admin/UpFilePhoto.asp
http://www.fschuangyou.com/admin/upfile.asp
后门地址:http://www.fschuangyou.com/admin/asp.asp
http://www.konglongfeng.com//admin/UpFilePhoto.asp
http://www.konglongfeng.com//admin/upfile.asp
后门地址:http://www.konglongfeng.com/admin/asp.asp
另外该建站程序存在建站弱口令
数据库中会有一个默认管理员和密码
账号andy 密码125831308
后台存在任意文件上传
附部分案例:
http://www.gzguojing.com/admin/
http://www.fskuanpu.com/admin/
http://www.mmshangcheng.com/admin/
http://www.fschuangyou.com/admin/
http://www.konglongfeng.com/admin/
http://www.whqunying.com/admin/
http://www.foshanshenghuihong.com/admin/
http://www.gdcorrocoat.com/admin/
http://www.plasland.net/admin/
修复方案:
修复
版权声明:转载请注明来源 Ch丶0nly@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝