当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074099

漏洞标题:深圳市社会保障卡单位系统存在命令执行

相关厂商:cncert国家互联网应急中心

漏洞作者: 袋鼠妈妈

提交时间:2014-08-27 18:48

修复时间:2014-10-11 18:50

公开时间:2014-10-11 18:50

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-27: 细节已通知厂商并且等待厂商处理中
2014-09-01: 厂商已经确认,细节仅向厂商公开
2014-09-11: 细节向核心白帽子及相关领域专家公开
2014-09-21: 细节向普通白帽子公开
2014-10-01: 细节向实习白帽子公开
2014-10-11: 细节向公众公开

简要描述:

深圳市社会保障卡单位系统存在命令执行

详细说明:

深圳市社会保障卡单位系统:
(看到银行朋友在朋友圈发的,说是所有的社保卡都要换了,可以直接去办理,带上身份证和社保卡。)
地址:https://zk.szsi.gov.cn/jrsbksb/dwlogin.action

q1.png

q2.png


Target: https://zk.szsi.gov.cn/jrsbksb/dwlogin.action
Whoami: weblogic
WebPath: OS.Name: Linux
OS.Version: 2.6.18-194.el5
Java.Home: /bea/jdk160_24/jre
Java.Version: 1.6.0_24
OS.arch: i386
User.Name: weblogic
User.Home: /home/weblogic
User.Dir: /bea/user_projects/domains/JRSBKSB_9002
Java.Class.Path: /bea/user_projects/domains/JRSBKSB_9002/lib/jt400.jar:/bea/user_projects/domains/JRSBKSB_9002/lib/util400.jar:/bea/user_projects/domains/JRSBKSB_9002/lib/antlr-2.7.6.jar:/bea/user_projects/domains/JRSBKSB_9002/lib/commons-lang-2.3.jar:/bea/patch_wls1035/profiles/default/sys_manifest_classpath/weblogic_patch.jar:/bea/jdk160_24/lib/tools.jar:/bea/wlserver_10.3/server/lib/weblogic_sp.jar:/bea/wlserver_10.3/server/lib/weblogic.jar:/bea/modules/features/weblogic.server.modules_10.3.5.0.jar:/bea/wlserver_10.3/server/lib/webservices.jar:/bea/modules/org.apache.ant_1.7.1/lib/ant-all.jar:/bea/modules/net.sf.antcontrib_1.1.0.0_1-0b2/lib/ant-contrib.jar:/bea/wlserver_10.3/common/derby/lib/derbyclient.jar:/bea/wlserver_10.3/server/lib/xqrl.jar
Java.IO.Tmpdir: /tmp
====================


上面涉及的系统还挺多的:
(1)WebSphere,部署了不少的应用:

Q3.png


CacheMonitor.ear
DefaultApplication.ear
DynaCacheEsi.ear
DynacacheMessageHandler.ear
EventServiceMdb.ear
HttpErrorHandler.ear
iehs.war
ivtApp.ear
PerfServletApp.ear
query.ear
SdoRepository.ear
SIBMsgMigrationUtility.ear
sibwsauthbean.ear
sibws.ear
sibwshttpchannel1.ear
sibwshttpchannel2.ear
sibwshttpepl.ear
sibwsjmschannel1.ear
sibwsjmschannel2.ear
sibwsjmsepl.ear
uddi.ear
WebSphereTP.ear
wsgw.ear


(2)涉及多个系统:

q4.png


(3)可以继续深入数据库:/bea/user_projects/domains/JRSBKSB_9002/config/jdbc/oracle-jdbc.xml、db2as400-jdbc.xml等

<?xml version='1.0' encoding='UTF-8'?>
<jdbc-data-source xmlns="http://xmlns.oracle.com/weblogic/jdbc-data-source" xmlns:sec="http://xmlns.oracle.com/weblogic/security" xmlns:wls="http://xmlns.oracle.com/weblogic/security/wls" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/jdbc-data-source http://xmlns.oracle.com/weblogic/jdbc-data-source/1.0/jdbc-data-source.xsd">
<name>oracle</name>
<internal-properties>
<property>
<name>CountOfTestFailuresTillFlush</name>
<value>10</value>
</property>
<property>
<name>CountOfRefreshFailuresTillDisable</name>
<value>20</value>
</property>
</internal-properties>
<jdbc-driver-params>
<url>jdbc:oracle:thin:@192.168.1.8:1521:jrs[打码]</url>
<driver-name>oracle.jdbc.xa.client.OracleXADataSource</driver-name>
<properties>
<property>
<name>user</name>
<value>szjrsbk</value>
</property>
</properties>
<password-encrypted>{AES}SO4j[打码]30CbAF4Fz2tizOXM+QVIfYl01wc9Qr5DasZk=</password-encrypted>
</jdbc-driver-params>
<jdbc-connection-pool-params>
<initial-capacity>10</initial-capacity>
<max-capacity>100</max-capacity>
<capacity-increment>10</capacity-increment>
<test-table-name>SQL SELECT 1 FROM DUAL</test-table-name>
<statement-cache-size>10</statement-cache-size>
<statement-cache-type>LRU</statement-cache-type>
</jdbc-connection-pool-params>
<jdbc-data-source-params>
<jndi-name>JRSBK</jndi-name>
<global-transactions-protocol>TwoPhaseCommit</global-transactions-protocol>
</jdbc-data-source-params>
</jdbc-data-source>

漏洞证明:

如上

修复方案:

如果深入,涉及的东西会比较多,早日修复

版权声明:转载请注明来源 袋鼠妈妈@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-09-01 10:08

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给广东分中心,由广东分中心后续协调网站管理单位处置。 按通用软件漏洞评分,rank 7

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-27 19:19 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    妈妈真牛逼

  2. 2014-08-27 20:54 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @泳少 我擦..你是在讥讽我么

  3. 2014-08-27 21:07 | godblessme ( 实习白帽子 | Rank:34 漏洞数:3 | 维护世界和平)

    袋鼠很厉害的样子

  4. 2014-08-27 21:09 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @袋鼠妈妈 木有喔

  5. 2014-08-27 21:22 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @godblessme 我是打酱油滴,厉害的都在搞审计呢 么么哒

  6. 2014-08-27 21:23 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @泳少 你回来没有?

  7. 2014-08-27 21:30 | godblessme ( 实习白帽子 | Rank:34 漏洞数:3 | 维护世界和平)

    @袋鼠妈妈 是因为有了你,他们才要审计吧 哈哈

  8. 2014-08-27 21:43 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @godblessme 哼.你们尽管嘲笑我吧..我去叫我表哥来

  9. 2014-08-27 23:47 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @袋鼠妈妈 妈妈,你不知道儿子明天得火车吗