当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0109655

漏洞标题:五矿集团某站点jboss漏洞可内网渗透

相关厂商:五矿集团

漏洞作者: cleanmgr

提交时间:2015-04-22 13:43

修复时间:2015-06-08 17:58

公开时间:2015-06-08 17:58

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开

简要描述:

五矿集团某站点jboss漏洞可内网渗透,据说五矿的洞都忽略了,但还是提交吧...

详细说明:

站点:http://202.96.11.45
上面部署有五矿有色铜业务运营系统、金网后台管理系统、五矿有色铜内贸业务系统。

12.png


发现有jboss
http://202.96.11.45/jmx-console/
发现已被人光顾过了..

12.png


http://202.96.11.45/DonGz/index.jsp

12.png


找到数据库连接密码等,对外未开放1433端口,转发后连接,多个数据库:

QQ截图20150420144934.png


QQ截图20150420145151.png


QQ截图20150420145932.png


通过获取的数据登陆部分站点等等...
http://202.96.11.48/SmartLearning/

12.png


http://202.96.11.46/KinmetFutures/login.jsp

12.png


然后就是进内网
发现是nt authority\system权限,本打算通过reg save hklm\system c:\system.hive等读取注册表破解获得密码进去,未成功。

QQ截图20150420151600.png


只能自建admin$账户了,转发3389端口

QQ截图20150420153535.png


QQ截图20150421094632.png


通过内网渗透发现
10.1.32.1/24
10.2.11.1/24
10.255.1.45/24等网段
域控服务器为10.1.32.1和10.1.32.2主机
同时共用口令一堆:
zhangj zh*ng*2w8j
sunp su*p5*9m
zhaojk zha*j*2*8p
patrol p*t*ol
Administrator P**sw*rd
liujy 9*****9
Administrator 89****nv*a8et
Administrator m*n*e*a*s
等等部分截图如下:
10.255.1.42

QQ截图20150421135358.png


QQ截图20150421103031.png


QQ截图20150421135712.png


12.png


QQ截图20150421144637.png


10.255.1.14

12.png


10.1.32段的

12.png


其中几台主机截图:

QQ截图20150422091301.png


QQ截图20150422091756.png


QQ截图20150422091948.png


QQ截图20150422092327.png


QQ截图20150422092548.png


QQ截图20150422093015.png


QQ截图20150422093912.png

QQ截图20150422100426.png

mingan1.png


通过抓包又能获取到一批密码:

FTP.png


最后在10.1.32.45的缓存中抓到域账户的密码:

域账户.png


破解未成功,其实可以通过wce工具直接提交密文登陆,但未尝试。

漏洞证明:

另送202.96.11.65心脏出血一个

202.96.11.65.png


利用jmx-console获取敏感信息:
1、jboss家目录路径:jboss.system type=ServerConfig

12.png


2、查询部署的应用:flavor=URL,type=DeploymentScanner找到java.lang.String listDeployedURLs(),点击Invoke

12.png


3、列出部署的应用信息:service=MainDeployer找到java.util.Collection listDeployed(),点击Invoke

12.png


4、关闭jboss找到jboss.system type=Server 找到void shutdown(),点击Invoke(未尝试)
5、读取任意文件name=SystemProperties,type=Service找到List of MBean attributes,在URLList中填入文件的相对路径,点击Apply 如果文件路径不正确或不存在,将出现500错误。找到java.util.Map showAll(),点击Invoke在返回页面中可以查看到目标文件内容:

12.png


6、通过DeploymentScanner、BSH(Bean Shell)Deployment、直接写入shell等方式写入木马。
7、有密码jmx-console等通过RMI远程方法调用、JMXInvoker、Jmx Console控制台HTTP认证绕过、invoker/JMXInvokerServlet或invoker/EJBInvokerServlet、Jboss远程代码执行漏洞CVE 2013-4810等方式部署木马。

修复方案:

建议一:删除$JBOSS_HOME/[server]/all/deploy和$JBOSS_HOME/[server]/default/deploy下的Jmx-console.war、Web-console.war文件卸载控制台。或者去掉“jmx-console-web.xml”里的<http-method>GET</http-method> 和<http-method>POST</http-method>, 这样就能使所有HTTP类型的请求都要登录才能成功。
建议二:给jmx-console和web-console都加上密码。在 ${jboss.server.home.dir}/deploy下面找到jmx-console.war目录编辑WEB-INF/web.xml文件,去掉 security-constraint 块的注释,使其起作用。
建议三:编辑WEB-INF/jboss-web.xml去掉 security-domain 块的注释,security-domain值的映射文件为 login-config.xml (该文件定义了登录授权方式);或者直接删除 $JBOSS_HOME/[server]/all/deploy 和$JBOSS_HOME/[server]/default/deploy下的Jmx-console.war 、Web-console.war这两个.War文件来禁止对jmx-console和web-console的访问,再访问jmx-console或者 web-console时就返回404了。
建议四: 删除 server/default/deploy/http-invoker.sar 这个包
建议五:梳理并加强内网防火墙ACL,最好限制到端口级。
建议六:口令共用及弱口令问题等....

版权声明:转载请注明来源 cleanmgr@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-04-24 17:56

厂商回复:

CNVD未复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-09 09:56 | qdq ( 路人 | Rank:2 漏洞数:1 | 有关部门)

    好强

  2. 2015-06-10 14:07 | 冰麒麟 ( 路人 | Rank:0 漏洞数:2 | 就算是男孩子,只要可爱就没问题了.)

    卧槽,日穿了

  3. 2015-09-08 15:48 | 临时城管 ( 路人 | Rank:10 漏洞数:4 | 随手这么一打)

    牛掰