当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111616

漏洞标题:银行联合某网(root权限可打入内网)、smsService权限、微博api、多处数据库可查询会员余额、电话等

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-05-03 08:24

修复时间:2015-06-18 13:48

公开时间:2015-06-18 13:48

漏洞类型:命令执行

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-03: 细节已通知厂商并且等待厂商处理中
2015-05-04: 厂商已经确认,细节仅向厂商公开
2015-05-14: 细节向核心白帽子及相关领域专家公开
2015-05-24: 细节向普通白帽子公开
2015-06-03: 细节向实习白帽子公开
2015-06-18: 细节向公众公开

简要描述:

银行联合某网(root权限可打入内网)0x02:smsService权限0x03:w微博api泄露&authorized_keys泄露0x04:敏感配置信息0x05:有人已经入侵过0x06:多处数据库可查询会员余额|电话等!

详细说明:

站点:银行联合信息网
网址:http://unbank.info/toFindBankNodeJsp.action
描述:站点存在Struts2命令执行漏洞可让黑客获取webshell权限
权限:root
路径:/usr/local/apache-tomcat6.0/webapps/switch/
0x01:getshell

2.png


0x02:smsService权限

sms.url=http\://121.199.16.178/webservice/sms.php?method\=Submit
sms.account=cf_unbank
sms.password=123456
sms.content22=\u94F6\u884C\u4EBA\u624B\u673A\u5BA2\u6237\u7AEF\u4E0B\u8F7D\u5730\u5740\uFF1Ahttp\://www.unbank.info/loginmain.action
sms.content=\u94F6\u884C\u4EBA\u624B\u673A\u5BA2\u6237\u7AEF\u4E0B\u8F7D\u5730\u5740\uFF1Ahttp\://www.unbank.info/loginmain.action
sms.content.0=\u94F6\u884C\u4EBA\u624B\u673A\u5BA2\u6237\u7AEF\u4E0B\u8F7D\u5730\u5740\uFF1Ahttp\://www.unbank.info/loginmain.action
sms.content.1=\u6B22\u8FCE\u5B89\u88C5\u4F7F\u7528\u7968\u636E\u79C1\u5BC6\u7B54\u624B\u673A\u5BA2\u6237\u7AEF\uFF1Ahttp\://www.unbank.info/loginm.action?type\={0} \u3002
sms.content.2=\u6B22\u8FCE\u5B89\u88C5\u4F7F\u7528\u94F6\u884C\u4EBA\u624B\u673A\u5BA2\u6237\u7AEF\uFF1Ahttp\://www.unbank.info/loginm.action?type\={0} \u3002


2.png


发送一条短信验证(亲测)

12.png


收到:

2.png


银行很有钱(查下企业短信账户余额吓到了)

2.png


漏洞证明:

0x03:微博api泄露&authorized_keys泄露

client_ID =2816775601           
client_SERCRET =d567afa2f5198017da62f115ee5d937b
redirect_URI =http://bbs.unbank.info/page
baseURL=https://api.weibo.com/2/
accessTokenURL=https://api.weibo.com/oauth2/access_token
authorizeURL=https\://api.weibo.com/oauth2/authorize


ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAqwzCV/pzcMKpX8imU0wXD3VMJ/ZSs1wYkvEdweQSii8MEV3fB4+zApj9mzCm0yyVef6wZr/G+ahB9Qr6IjJZSVXAVKaKWblxynslRiiHdWASP+HV37BLGX79Q2iYN94eAmx3b76/cYADZbAZ+7wEAyeUM9dGXAf7hpzD2zTsB1N7W+c3gsCKvFR256vY/it9U1q/Cd6D8TRz93yqeiZrYuCgnY4W2VGWU+vzwX1wWy7NyNhnl/WCVua96gaREztkP+xG+o2Pu52ujOnsrXxe7+NvY/TIcSnXgvLgf8N4+a/D0ssn2DsQ1QJjGBsiPaNpTnqhMnI3Zv33tEw1xEK8wQ== root@www.unbank.info


:extssh:liyan@192.168.1.215:/data/cvs


0x04:敏感配置信息

#! /bin/sh
SED="/usr/bin/sed"
prefix="/usr/local/php5"
exec_prefix="${prefix}"
version="5.2.9"
vernum="50209"
include_dir="${prefix}/include/php"
includes="-I$include_dir -I$include_dir/main -I$include_dir/TSRM -I$include_dir/Zend -I$include_dir/ext -I$include_dir/ext/date/lib"
ldflags=" -L/usr/local/lib -L/usr/local/mysql/lib/mysql"
libs="-lcrypt   -lcrypt -lmysqlclient -liconv -lpng -lz -lz -lm  -lxml2 -lz -liconv -lm -lxml2 -lz -liconv -lm -lmysqlclient -lz -lcrypt -lm -lxml2 -lz -liconv -lm -lnetsnmp -lelf -lm -lkvm -ldevstat -lcrypt -lxml2 -lz -liconv -lm -lxml2 -lz -liconv -lm -lxml2 -lz -liconv -lm -lcrypt "
extension_dir='/usr/local/php5/lib/php/extensions/no-debug-non-zts-20060613'
program_prefix=""
program_suffix=""
exe_extension=""
php_cli_binary=NONE
php_cgi_binary=NONE
configure_options=" '--prefix=/usr/local/php5' '--with-mysql=/usr/local/mysql' '--with-gd' '--with-zlib' '--with-libxml-dir' '--with-openssl-dir' '--with-pdo-mysql=/usr/local/mysql' '--with-iconv-dir' '--with-apxs2=/usr/local/apache/bin/apxs' '--enable-sockets' '--with-snmp'"
php_sapis="cli apache2handler"
# Set php_cli_binary and php_cgi_binary if available
for sapi in $php_sapis; do
  case $sapi in
  cli)
    php_cli_binary="${exec_prefix}/bin/${program_prefix}php${program_suffix}${exe_extension}"
    ;;
  cgi)
    php_cgi_binary="${exec_prefix}/bin/${program_prefix}php-cgi${program_suffix}${exe_extension}"
    ;;
  esac
done
# Determine which (if any) php binary is available
if test "$php_cli_binary" != "NONE"; then
  php_binary="$php_cli_binary"
else
  php_binary="$php_cgi_binary"
fi
# Remove quotes
configure_options=`echo $configure_options | $SED -e "s#'##g"`
case "$1" in
--prefix)
  echo $prefix;;
--includes)
  echo $includes;;
--ldflags)
  echo $ldflags;;
--libs)
  echo $libs;;
--extension-dir)
  echo $extension_dir;;
--include-dir)
  echo $include_dir;;
--php-binary)
  echo $php_binary;;
--php-sapis)
  echo $php_sapis;;
--configure-options)
  echo $configure_options;;
--version)
  echo $version;;
--vernum)
  echo $vernum;;
*)
  cat << EOF
Usage: $0 [OPTION]
Options:
  --prefix            [$prefix]
  --includes          [$includes]
  --ldflags           [$ldflags]
  --libs              [$libs]
  --extension-dir     [$extension_dir]
  --include-dir       [$include_dir]
  --php-binary        [$php_binary]
  --php-sapis         [$php_sapis]
  --configure-options [$configure_options]
  --version           [$version]
  --vernum            [$vernum]
EOF
  exit 1;;
esac
exit 0


0x05:有人已经入侵过

根目录下发现不明shell,管理员自行处理,认真排查


0x06:多处数据库可查询会员余额|电话等!

#c3p0.jdbcUrl=jdbc:mysql://192.168.1.10:3306/switch?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true
#c3p0.driverClass=com.mysql.jdbc.Driver
#c3p0.user=root
#c3p0.password=wl1292
#c3p0.maxIdleTime=25200
database.url=jdbc:mysql://localhost:3306/bankindustry?useUnicode=true&characterEncoding=UTF-8
database.driverClassName=com.mysql.jdbc.Driver
database.username=switch
database.password=wl4tiger
database1.url=jdbc:mysql://localhost:3306/switch?useUnicode=true&characterEncoding=UTF-8
database1.driverClassName=com.mysql.jdbc.Driver
database1.username=switch
database1.password=wl4tiger
更多自己排查~没列出,不代表不存在


2.png


1.png


修复方案:

问题很多,请逐一排查!作为白帽子这是我该做的。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-05-04 13:47

厂商回复:

CNVD未直接复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-18 14:05 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    作为白帽子这是我该做的。

  2. 2015-06-18 18:45 | Airbasic ( 实习白帽子 | Rank:33 漏洞数:8 | 不要向我EMAIL发邮件,地址已失效!)

    作为白帽子这是我该做的。液!