当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076406

漏洞标题:某市公交查询网存在Struts2远程命令执行漏洞(可getshell、可漫游内网数据库)

相关厂商:爱巴仕

漏洞作者: cf_hb

提交时间:2014-09-17 23:28

修复时间:2014-11-01 23:30

公开时间:2014-11-01 23:30

漏洞类型:命令执行

危害等级:高

自评Rank:18

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-17: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-11-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

这一个漏洞成了,能让我成普通白帽子吗???求10rank就行!PS(并发现才不久有人留下的webshell 3 个)

详细说明:

商家域名:www.jt168.com
漏洞类型:S2-005 和 S2-016
详细介绍参加官方说明:
http://struts.apache.org/release/2.3.x/docs/s2-016.html
http://struts.apache.org/release/2.2.x/docs/s2-005.html
Struts2版本更新升级不及时,导致远程命令执行漏洞被利用。可以被拿下webshell,任意操作站点文件,漫游内网,因为数据库权限和web用户权限很大可以被利用进一步提权拿下服务器。
测试中,利用远程命令执行漏洞成功上传webshell,通过webshell可以对服务器上文件进行任意操作。通过分析,找到数据库服务器,并成功登陆进去发现大量用户隐私数据。
漏洞证明截图如下:

漏洞证明:

证明身份:

index.PNG


远程命令执行:

7FDZ2J%2Y]WTT@U7~0FDZZF.jpg


主机名: PC-20140626WKFE
OS 名称: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本: 5.2.3790 Service Pack 2 Build 3790
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Multiprocessor Free
注册的所有人: 微软用户
注册的组织: 微软中国
产品 ID: 69813-640-0582553-45431
初始安装日期: 2014-6-26, 15:54:09
系统启动时间: 16 天 1 小时 37 分 33 秒
系统制造商: To be filled by O.E.M.
系统型号: To be filled by O.E.M.
系统类型: X86-based PC
处理器: 安装了 8 个处理器。
[01]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[02]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[03]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[04]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[05]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[06]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[07]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
[08]: x86 Family 6 Model 58 Stepping 9 GenuineIntel ~3292 Mhz
BIOS 版本: ALASKA - 1072009
Windows 目录: C:\WINDOWS
系统目录: C:\WINDOWS\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: 暂缺
时区: (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 16,348 MB
可用的物理内存: 14,509 MB
页面文件: 最大值: 18,143 MB
页面文件: 可用: 14,873 MB
页面文件: 使用中: 3,270 MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: 暂缺
修补程序: 安装了 366 个修补程序。
[01]: File 1
拿下webshell并看到源码文件:

LOJ8XM_PL@FQNMQ%QF%EBL9.jpg


发现被人留下的webshell:

X8NV@D%KFH%EA]VSJGC64~7.jpg


翻到配置文件,看到内网数据库配置信息:

内网数据库.PNG


利用开源的Adminer.php连上数据库:

5~D{RQPAF78637%7QZP$7F5.jpg


看到好多用户隐私信息:

OKZ{UP9S49Y@_D)LTHJ4K(0.jpg


应该是Led设备登陆账号:

LED.jpg


数据库用户是root权限:

[Q%[V8HGD%TU8RXR$8PVTH0.jpg


通过webshell可以继续内网渗透:

2.PNG


菜鸟不会内网渗透,就测试到这里咯!!

修复方案:

参照官方建议升级Struts2版本进行修复

版权声明:转载请注明来源 cf_hb@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论

  1. 2014-09-18 10:21 | kydhzy ( 普通白帽子 | Rank:362 漏洞数:62 | 软件测试)

    目测没10个

  2. 2014-09-18 10:38 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    感觉求厂商认领

  3. 2014-09-18 12:21 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    @袋鼠妈妈 求认领求带走啊

  4. 2014-09-18 12:22 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    @kydhzy 目测没人认领

  5. 2014-11-02 18:06 | 小卖部部长 ( 路人 | Rank:24 漏洞数:3 | 别拿部长不当干部!)

    洞主没能在 公交车LED上显示 路人甲到此一游,实在遗憾。。。