南京大学主站成功入侵

漏洞概要

缺陷编号:WooYun-2012-06116

漏洞标题:南京大学主站成功入侵

相关厂商:南京大学

漏洞作者:FuckHelen

提交时间:2012-04-16 17:54

公开时间:2012-04-16 17:54

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

Tags标签:

漏洞详情

披露状态:

2012-04-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-04-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

权限设置不当,直接loadfile读取文件

详细说明:

打开谷歌搜索南京大学。http://www.nju.edu.cn/ 点开链接自动跳转到http://www.nju.edu.cn/cps/site/newweb/foreground/ 这里来了,撸了两下对网站有个基本的认识,换了个大小写不存在说明是很有可能linux或者unix的,点了两个连接发现都有变量传入,这个比较少见,我看见的一些比较好的大学主站都是静态页面,然后链接到各个分站。再接着看,打开一条新闻,查看图片的url,没有发现什么典型编辑器的痕迹。但穿的像处女不代表就是处女啊,网站也撸不下去了,撸来撸去也没看出什么。打开wvs(多久没用你了~~)开始大扫特扫,俺先去洗个澡。等我洗完澡再回来看发现wvs还没有扫完,不过我觉得没有必要继续扫下去了。因为俺扫到了注入。。直接打开havij开始注入。很顺利的得到了一些基本信息,而且用户还是root,我没急着去解密,先去找phpmyadmin,很可惜的是,没找到,用dirbuster扫了一遍也没有什么收获。后来我才发现原来root的密码解不出来。。。到这里似乎卡住了,于是我又去注了一下表段,同时打开wscan对http://www.nju.edu.cn/cps/site/newweb/ 来扫描目录,希望能够扫到后台。很可惜的是,我还是没有扫到。。于是我又绕回了到了root,既然找不到phpmyadmin,也不代表不能写啊,select into outfile也能写一句话进去的,但是绝对路径呢?http://www.nju.edu.cn/cps/site/newweb/foreground/show1.php?id=1' 出来了,就这么简单。下面就开始写shell啊,过程不细说了,大家都知道的,结果发现不成功啊。。GPC肯定是关闭的啊。。难道是目录不可写?(windows下的不多见,但是linux下权限分配很严格,容易出现无权写入的现象)于是开始各种换目录,换到图片目录,还是不行。。。到这里又卡了一下,于是来翻了下wvs的扫描报告,结果翻到了很可疑的东西。妹的原来有人拿到了webshell。。心里郁闷死了,俺就这么菜。。郁闷归郁闷,还是直接loadfile读取文件,然后拿到密码,进去了。。进去之后找到了几个马。。不过都是09年的,然后仔细翻了下目录,发现权限设置的确实好紧,目录都是755,webshell无权写入(不是root,执行whoami回显nobody),文件都是644,改都改不了,尝试chmod命令无回显,再来看文件权限依旧没有改变,找到数据库连接文件和phpmyadmin目录(原来是phpMadmin。。)root权限登录发现依旧无法select into outfile。参观了一下网站目录就走了。。就这么完了?确实完了。。。

漏洞证明:

修复方案:

漏洞修复你懂得

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    作者思路有点意思

  2. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    学习一下 应该给点rank的呀 呵呵

  3. 2010-01-01 00:00 imlonghao 白帽子 | Rank:703 漏洞数:73)

    @xsser 忘记通报CNVD了吧,WEBSHELL存在貌似也管的。

  4. 2010-01-01 00:00 popok 白帽子 | Rank:82 漏洞数:19)

    以前很喜欢看别人各种入侵思路。
    此例说明webshell里密码最好也用md5()处理一下

  5. 2010-01-01 00:00 Kk_p 白帽子 | Rank:9 漏洞数:2)

    洞主有的地方还是值得学习一下的

  6. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    洞主这个可以做教程了,工具打包一并发了,哈~

  7. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @Kk_p 额外为洞主发放了一枚邀请码,洞主居然没来...

  8. 2010-01-01 00:00 Kk_p 白帽子 | Rank:9 漏洞数:2)

    @xsser 可惜了。开放思路的屌丝特别少,应鼓励屌丝们多发发思路

  9. 2010-01-01 00:00 随风.潜入夜 白帽子 | Rank:22 漏洞数:5)

    居然拿着别人的洞来提交!鄙视

  10. 2010-01-01 00:00 一刀终情 白帽子 | Rank:154 漏洞数:27)

    @随风.潜入夜 路人甲也许就是他自己~

  11. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @xsser 剑心,帮忙看一下他的邮箱,这文章不是作者的,被别人发过来的,邮箱PM我,好去论坛删ID.....

  12. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @随风.潜入夜 查出来他直接删论坛ID,不解释....

  13. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @一刀终情 明显不是A11来发的,被人冒发的

  14. 2010-01-01 00:00 随风.潜入夜 白帽子 | Rank:22 漏洞数:5)

    @一刀终情 真正的作者是我们论坛上的一哥们。正在那里抱怨呢。。。。

  15. 2010-01-01 00:00 随风.潜入夜 白帽子 | Rank:22 漏洞数:5)

    @darksn0w 你想怎么查?

  16. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @随风.潜入夜 只能问问剑心,看看能不能从乌云这边查到他的IP

  17. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @随风.潜入夜 @darksn0w 我想说说乌云判断价值的宗旨,当时乌云是建立一个平台,想通过报告和解决厂商安全问题的同时能够有所技术沉淀,所以安全问题可能不一定是原创,譬如乌云经常有被黑的信息报告到厂商能够及时解决问题,实际上已经产生了价值,而且乌云很难去判断一个信息是否是原创或者是否是原作者,更多的希望大家都更积极主动共享一些,不只对别人对自己成长也有好处,当然我们也是很反对直接的抄袭的,我们也在建立一些监督机制,譬如第三方知情者的评分很反馈来慢慢减少这种问题,但是还是希望所有人都能更开放一些,这个氛围会更好一些。

  18. 2010-01-01 00:00 darksn0w 白帽子 | Rank:62 漏洞数:10)

    @xsser 嗯,好的= =其实现在圈子就是气氛不正,我们只是希望能够尊重作者,哪怕共享署名,我们一直很支持wooyun的,也看到了中国互联网安全的情况

  19. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @darksn0w =。= 添加评论,评分等的目的就是希望有个大家第三方透明的监督来压制这种,内容不错,向原作者致敬,欢迎他来乌云分享

  20. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    对于普通人来说,能看到有所收获的文章,思路,就已经可以了。当然更应该提倡是自己的想法,如果是转载最好还是能带上原作者...