漏洞概要
关注数(24)
关注此漏洞
漏洞标题:URP综合教务系统通杀第三弹(无需登录GETSHELL)
提交时间:2014-09-09 14:34
修复时间:2014-12-08 14:36
公开时间:2014-12-08 14:36
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
Tags标签:
无
漏洞详情
披露状态:
2014-09-09: 细节已通知厂商并且等待厂商处理中
2014-09-14: 厂商已经确认,细节仅向厂商公开
2014-09-17: 细节向第三方安全合作伙伴开放
2014-11-08: 细节向核心白帽子及相关领域专家公开
2014-11-18: 细节向普通白帽子公开
2014-11-28: 细节向实习白帽子公开
2014-12-08: 细节向公众公开
简要描述:
我不是杀手- -首先在这里感谢我的已经毕业了的学长,没有学长的前期娴熟的分析,不会有这个漏洞的后续挖掘。发现某个系统被入侵了后,学长详细的查看了日志,并锁定了存在漏洞的文件,我所做的只是站在巨人的肩膀上蹦跶了一下..也谢谢学长给我找个分析的机会..你肯定也早就知道了这个成因了吧..如下图有学长分析的,我又重新截了下图,说得太多啦哈哈。你们不愿意看来打我啊~
详细说明:
如上所述,这次发现是从被入侵的URP的日志分析开始的。经后续测试通杀1.38 1.5,
由第一个日志我们看到了这个入侵者在没有对lwUpLoad_action.jsp这个页面访问而是直接POST数据过去,说明这个入侵者早就知道了这个漏洞的利用方法,并且肯定已经入侵了不少相同的系统。
既然知道了入侵者是通过那个地方进入的,剩下的就开始分析吧。
首先,这个系统使用了Smartupload组件,先来看下lwUpLoad_action的部分源码。
初步一看这个代码没啥问题吧,这个文件名使用学号命名的,也符合正常逻辑..继续看这个uploadlwyw.jsp的一部分代码,
这你妹这么重要的上传用js写不是打脸吗...在这里也没有限制上传类型,当然还得看后端的处理,别急,马上就来。我们来看下UploadLwywAction,这个路径我不写了,自己找吧,这是个java字节码,需要反编译成java源码,我把错误处理的去掉,上传部分代码如下
这后端也没有处理啊,我擦这不是个任意文件上传吗...自己写个表单就好了...
修改的位置你懂得,shell地址我不明写了,稍微看得懂代码就行,防止某些人直接利用好吧...
漏洞证明:
有了getshell 这个基本上任意脱教务的裤子了,这个影响大概千万人数据吧,就算Oracle部署在内网了 getshell上去基本都是root权限,测试了15个左右除了北邮的新建了账户外其他都是跑在root的,但是北邮的亲..你们敢不敢不要用su..这赤裸裸的root密码我都不好意思,就以北邮世纪学院为例吧,北邮本校的urp那个部署在本机的oracle还是弱密码呢....首先用这个表单上传一个shell吧 网站是http://111.204.7.29:8080/
ssh反代会用吧,翻墙的亲们,只要这个主机可以ssh上,就可以用反代配全局继续内网渗透,或者可以脱裤,oracle就算部署在内网肯定教务系统也是可以直连的。
修复方案:
cncert老板,这个有证书喵?修复的话在后端action做验证吧,请cert晚确认,延长时间便于修复...我的信息就在里面啊- -抄报厂商好好修复吧。谢谢
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-09-14 09:51
厂商回复:
最新状态:
暂无
漏洞评价:
评论
-
2014-09-09 14:35 |
玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )
-
2014-09-14 13:35 |
我还爱 ( 路人 | Rank:0 漏洞数:1 | 虚心学习)
习科联创已经把漏洞利用程序贴出来了http://bbs.isilic.org/thread-6386-1-1.html
-
2014-09-14 14:20 |
jhdxr ( 路人 | Rank:3 漏洞数:2 | 这家伙很懒,所以。。。)
-
2014-09-14 20:34 |
我还爱 ( 路人 | Rank:0 漏洞数:1 | 虚心学习)
-
-
2014-12-15 01:00 |
Mr.Lonely ( 路人 | Rank:0 漏洞数:1 | 努力成为一个有用的人。)
-
此漏洞已经修复,并已经通知相关学校升级漏洞补丁,谢谢您的提交