漏洞详情

披露状态:

2014-10-27: 细节已通知厂商并且等待厂商处理中
2014-11-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

已经是跑马场了,webshell,远控,黑链等等。。。

详细说明:

服务器IP:218.29.140.102 河南省教育系统就业信息共享平台 ,所有高校用的同一程序。

QQ截图20141026184826.jpg

用户注册头像上传处过滤不严,可任意上传导致webshell。用aspxspy看了一下,共有92个站点:

88	IUSR_SVCTAG-HVZDP2X	[email protected]	:80:zcu.hnbysxxw.com	E:高校信息网城市职业学院HTDOC-[yw]
89 IUSR_SVCTAG-HVZDP2X [email protected] :80:hncjh.hnbysxxw.com E:新建文件夹促进会htdoc[Yw]
90 IUSR_SVCTAG-HVZDP2X [email protected] :80:sfjg.hnbysxxw.com
:8089: E:SFJG-AHTDOC-[yw]
91 IUSR_SVCTAG-HVZDP2X [email protected] :80:zztc.jyxxh.com E:异网郑州师范学院-2htdoc[Yw-new]
92 IUSR_SVCTAG-HVZDP2X [email protected] :80:hncedu.jyxxh.com
:8030: E:高校信息网郑州护理职业学院

大量学校:

QQ截图20141026185605.jpg

还有好多神马数据备份,不截图了。这么多网站,这么多shell,数据库肯定被拖了。登陆过系统的账号,和提权工具:

QQ截图20141026190512.jpg

ARP防火墙与Cain:

QQ截图20141026190831.jpg

远控server.exe???

QQ截图20141026191242.jpg

漏洞证明:

附上一shell:http://work.hnjycy.com/cmd.aspx pass:kang
大量数据:

QQ截图20141026191939.jpg

QQ截图20141026192514.jpg

修复方案:

上传进行过滤。还原系统进行全盘查杀吧。

标签: none

评论已关闭