桃園市觀音區公所會計室 已被入侵事件 / Getshell - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2019-00212
  •  發信 Vendor: 桃園市觀音區公所會計室
  • Title: 桃園市觀音區公所會計室 已被入侵事件 / Getshell
  • Introduction: 已被入侵事件 / Getshell

處理狀態

目前狀態

公開
Last Update : 2019/05/02
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2019/03/02 21:11:54 : 新提交 (由 Noth 更新此狀態)
  • 2019/03/02 21:15:36 : 新提交 (由 Noth 更新此狀態)
  • 2019/03/02 22:15:27 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/03/03 20:59:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/03/03 20:59:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/05/02 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2019-00212
  • 通報者:Cake7528064 (Noth)
  • 風險:高
  • 類型:疑似遭入侵 (Probably Hacked)

參考資料

伺服器遭到入侵,例如頁面遭植入惡意程式、後門頁面等。
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://117.56.66.238/web/index.aspx

117.56.66.238/a_admin/admin/login.aspx

敘述

一 . 首頁 / 後台系統
http://117.56.66.238/web/index.aspx
117.56.66.238/a_admin/admin/login.aspx

二. 弱口令造成Getshell (不排除其他漏洞造成)
圖片
三. 登入成功畫面
圖片
四. 上傳直接Getshell ( 回報後已刪除 )
圖片
五. 遭入侵,被植入Webshell
圖片
查看源代碼,以 MD5 Hash
圖片
解碼後得出
圖片
登入
圖片
不排除在執行内網滲透

六. 所有被植入的Webshell位置 ( 我目前發現到的位置 )
http://117.56.66.238/user_file/user_file/100/file/8345/aspx.aspx
http://117.56.66.238/user_file/user_file/100/file/8456/867.asp
http://117.56.66.238/user_file/user_file/100/file/8456/845.aspx
http://117.56.66.238/user_file/user_file/100/file/8456/846.aspx
http://117.56.66.238/user_file/user_file/100/file/7976/test2.aspx

重申:
並無竊取或是更改任何資料,資訊
就這樣,被查水錶是真的會怕。

修補建議

1. 改個密碼吧~

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;