当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-033446

漏洞标题:苏州某研究院命令执行+系统权限配置不当+数据库连接串明文=站点彻底沦陷

相关厂商:苏州电器科学研究院

漏洞作者: snowdance

提交时间:2013-08-04 16:18

修复时间:2013-09-18 17:33

公开时间:2013-09-18 17:33

漏洞类型:命令执行

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-08-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-09-18: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

命令执行+系统权限配置不当+数据库连接串明文=整站彻底沦陷
目测已被轮过多次。。

详细说明:

首先是struts2,http://www.dqjc.com/loadIndex.action,执行任意命令,添加root权限用户pot成功
因为web用户权限太大,或者还可以利用struts2直接上传替换passwd和shadow,在原passwd和shadow分别添加如下所示,即添加zsc/123456的root权限用户:
zsc:x:0:0::/home/zsc:/bin/bash
zsc:$1$F4SZIJEk$LSpqSy1JMZq54K47yDLEt1:14224:0:99999:7:::

uploadpasswd.png


最终添加的“pot”和“zsc”用户均可以SSH登录,或是通过SFTP进行文件增删改

sftp.png


在WEB-INF/classes/hibernate.cfg.xml中看到的数据库连接串,且mysql 3306端口开放,可以远程连接

dbpass.png


另外在root用户文件夹下还发现应该是数据库运维留下的文件,内有大量数据库信息:

dbinfo.png


友情检查了日志文件,发现自str漏洞爆发以来,该系统每天都有大量不速之客光顾,查IP很多是印度、湾湾、韩国等等,当然这很可能是跳板的了,总之就是系统已被轮过多次了
下图看来是正在SSH爆root密码:

fuckn.png


zsc用户已删除,pot用户还未来得及删除,友情检测的过程中不知道是不是被我不小心弄挂了,在此表示非常抱歉!

漏洞证明:

如上~~

修复方案:

1.升级struts2版本至最新
2.按最小权限原则分配web权限
3.数据库运维等可能包含敏感信息的文件应及时清理,避免明文存储敏感信息
4.数据库连接串若能加密最好
5.加强日常运维,七月中旬就已经有大量黑客光顾,管理员应定期审核日志
6.其它更多的你们讨论吧。

版权声明:转载请注明来源 snowdance@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论