慧聪网某站发现大量后门(已成功爆破)

漏洞详情

披露状态:

2014-03-07: 细节已通知厂商并且等待厂商处理中
2014-03-07: 厂商已经确认,细节仅向厂商公开
2014-03-17: 细节向核心白帽子及相关领域专家公开
2014-03-27: 细节向普通白帽子公开
2014-04-06: 细节向实习白帽子公开
2014-04-21: 细节向公众公开

简要描述:

详细说明:

站点:http://118.194.32.61/Login.aspx

#1.通过扫描器扫描到有FCKeditor,我们先看看这个http://118.194.32.61/FCKeditor/editor/fckeditor.html,点击插入图片,然后浏览服务器:

01.jpg



#2.发现有shell,看来这位小朋友成功的利用了iis6的解析漏洞,是一句话地址:http://118.194.32.61//userfiles/file/temp_jm.asp;(1).jpg

02.jpg

漏洞证明:

#3.通过一句话爆破密码是cmd.成功登录:

03.jpg


在根目录下还发现这位小朋友的大马[http://118.194.32.61/xpy.asp;1.jpg],密码是:123bowen,不知道厂商会不会查杀这些木马,估计该站还残留大黑阔们的马儿,希望厂商能够注重安全,忽视小的安全隐患可能会带来大问题。

05.jpg



#4.具体的其它漏洞我就没去看了,既然已经猜到了一句话密码,直接连就可以得到shell。顺便提醒下厂商以下文件可能被利用:

http://118.194.32.61/FCKeditor/editor/filemanager/connectors/uploadtest.html
http://118.194.32.61/FCKeditor/editor/filemanager/connectors/ 列目录
http://118.194.32.61/fckeditor/editor/fckeditor.original.html
http://118.194.32.61/FCKeditor/editor/filemanager/connectors/test.html
http://118.194.32.61/fckeditor/editor/filemanager/connectors/test.html
http://118.194.32.61/fckeditor/editor/filemanager/connectors/uploadtest.html

修复方案:

设置不可列目录、删除有害的测试页面,升级到最新版编辑器、自评8rank

版权声明:转载请注明来源 U神@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-03-07 21:14

厂商回复:

谢谢

最新状态:

暂无


漏洞评价: