刚才上网说教育部网站被黑了。
有图:
有地址:http://www.moe.gov.cn/sofprogecslive/1.jsp
截止本文发布,该地址仍能打开。从目录得到的信息来看,只是利用某种漏洞成功上传了文件,并未得到其他权限或更深层次的东西。
教育部的网站使用的是sofprogecslive 开普互联提供滴。sofprogecslive 系统存在许多的漏洞。
去年乌云网就发了一个类似的问题,我不知道helen利用的就是这个漏洞,还是新的或是类似的呢。
去年的这个漏洞具体信息如何:
漏洞概要 关注数(1) 关注此漏洞
缺陷编号: WooYun-2011-03312 漏洞标题: Sofpro电子政务平台:在线访谈功能存在任意文件上传漏洞 相关厂商: 开普互联 漏洞作者: 刺刺 提交时间: 2011-11-14 公开时间: 2011-11-19 漏洞类型: 文件上传导致任意代码执行 危害等级: 中 自评Rank: 8 漏洞状态: 已交由第三方厂商处理
简要描述:
Sofpro电子政务平台“在线访谈”功能,上传文件处验证方式可被绕过。
详细说明:
漏洞文件:
/sofprogecslive/live/uploadfile.jsp
/sofprogecsinterview/interview/uploadfile.jsp
上传中对文件类型采用客户端js验证,本地禁用js,直接上传jsp脚本即可
修复方案:
建议增加服务端java验证;
文件存放目录禁止动态脚本执行;
平台系统权限明确,某些后台关键文件禁止未授权访问。
我不知道教育厅网站是否部署了网页防篡改系统或WAF呢?在重大会议期间,应当有专人值守滴,看来。。。
PS:3月8日22:45分左右再试,已经打不开上传的页面鸟!
继续PS:3月9日,继续得到新消息,根据helen此君留下的QQ号的签名却是“中国人民共和国教育部网站被入侵,跟我一点关系都没有,那是别人陷害的,事产关已,高高挂起!”疑似栽赃。
据说此君名声不太好。。大家可以百度:黑客HELEN装逼被社。
社区:
