漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-078611
漏洞标题:中国电信大量内部资料泄露并导致某系统任意文件上传/下载/挂马/Getshell等
相关厂商:中国电信
漏洞作者: nzk1912
提交时间:2014-10-08 12:42
修复时间:2014-11-22 12:44
公开时间:2014-11-22 12:44
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-10-08: 细节已通知厂商并且等待厂商处理中
2014-10-11: 厂商已经确认,细节仅向厂商公开
2014-10-21: 细节向核心白帽子及相关领域专家公开
2014-10-31: 细节向普通白帽子公开
2014-11-10: 细节向实习白帽子公开
2014-11-22: 细节向公众公开
简要描述:
中国电信大量内部资料泄露并导致某系统任意文件上传\下载\挂马\getshell
详细说明:
WooYun: 中国电信大量内部资料泄露并导致某系统沦陷
接这个漏洞,前面的过程不再叙述。
问题1:任意文件下载:
问题2、3:未鉴权直接访问 及 任意文件上传,直至挂马及getshell
先说下危害,此处可以上传任意文件,最直接的做法是做一个带木马的APK并上传,设置“强制更新”,这样使用这些APK的手机就可以被直接控制了,可以盗取任意资料。偶没那心思做这些,也就不验证了,理论上讲完全行得通。
仅测试了上传jsp文件,经测试,上传成功并访问成功,可以getshell。
通过strut.xml,发现一些action的路径,经测试,不登录也可以访问,并可以成功执行上传、删除等操作,应该与登录后是一样一样的~
其中最主要的就是这个路径,其它详见截图。
这个路径可以完成任意文件上传并植入木马、getshell。
漏洞证明:
1、任意文件下载
下载的web.xml:
下载的数据库连接配置文件,含IP、用户名、密码(深入渗透的重要信息)
下载的struts.xml,通过它才找到的各种路径:
其中一个可以访问的路径,貌似是登录记录:
上传apk安装包的路径(重点,可以上传任意文件)
工单信息,看日期可能已经不用了,只有2012年的
重点之一,点“新增”,可以上传任意文件,如果上传一个带木马的apk,手机直接中招;上传一个JSP,直接可以getshell
操作了一下,上传了一个JSP(已通过界面的删除功能删掉了)
下载这个JSP,可以成功下载
猜测到了路径,访问这个JSP
如果上传的是一个jsp木马,就可以上菜刀了,但白帽的目的不是getshell,而是证明可以getshell,这样应该足够了。
与上个漏洞一样,getshell了,并且多了其它几个漏洞,也得给20RANK吧~谢谢~~
修复方案:
1、任意文件下载问题:通过代码进行限制;
2、未登录直接访问问题:添加filter,做登录情况进行判断,未登录不能访问里面的页面
3、任意文件上传问题:解决问题2后,这个可以忽略,但最好还是判断一下扩展名,只支持上传apk等需要的文件类型,至少JSP不能上传。
版权声明:转载请注明来源 nzk1912@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-10-11 17:48
厂商回复:
最新状态:
暂无