当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112325

漏洞标题:工信部某站命令执行可深入内网(非st2)

相关厂商:工信部

漏洞作者: fuckadmin

提交时间:2015-05-06 00:08

修复时间:2015-06-23 16:28

公开时间:2015-06-23 16:28

漏洞类型:系统/服务补丁不及时

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-06: 细节已通知厂商并且等待厂商处理中
2015-05-09: 厂商已经确认,细节仅向厂商公开
2015-05-19: 细节向核心白帽子及相关领域专家公开
2015-05-29: 细节向普通白帽子公开
2015-06-08: 细节向实习白帽子公开
2015-06-23: 细节向公众公开

简要描述:

上次是cncert,这次测试的是工信部。

详细说明:

1.基本信息
站点:https://txzb.miit.gov.cn
系统名:通信工程建设项目招标投标管理信息平台
存在问题:invoker/JMXInvokerServlet接口未限制访问
2.测试过程

1.jpg


2.jpg


可惜不是root
但不影响下一步深入
3.深入发现
(1)防御策略

#平台级别默认防御策略
defend.js=true
defend.sql=true
#例外页面(防御策略不过滤的页面)
defend.js.exception=EDFA00|EDFA01|
defend.sql.exception=PMBU05|
#例外页面(防御策略一定过滤的页面)
defend.js.always=*|%
defend.sql.always=
#防御xss跨站攻击用
defend.js.replacefrom=&|<|>|"|'
defend.js.replaceTo=&amp;|&lt;| &gt;|&quot;|&#x27;|&#x2f;
#防御sql脚本注入用
defend.sql.filter=exec|execute|update|delete |count |drop|chr|mid|master|truncate |like |char|declare|sitename|net user|xp_cmdshell| or | like'| and |exec|execute|insert |create | drop |


虽然做了些xxs和sql注入过滤,但安全是一个整体—。—。
(2)数据库配置

# JDBC Configuration for Oracle
jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@10.1.1.37:1521:zsdb
jdbc.username=gxbbid
jdbc.password=gxbbid
jdbc.maxActive=100
#jdbc.maxIdle=30
#jdbc.maxWait=100
#jdbc.removeAbandoned=true
#jdbc.removeAbandonedTimeout=30


(3)FTP配置信息

?#根目录
Path=/home/baoxin/jboss-4.2.3.GA/server/default/fileDir/
#上传文件的临时目录
Upload_Temp_File=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#上传最大值 1024*1024*100
Upload_Size_Max=104857600
#Ftp设置
Ftp_Host=10.1.1.18
Ftp_Username=ftpbid
FTP_Password=ftpbid
Ftp_Defart_Dir=/
Ftp_Port=21
Ftp_Prior_Download=true
#上传路径设置 相对Path的路径
#Upload_Bid_PackageDir=uploadDir/bidPackage
#Upload_Tender_File=uploadDir/tenderFile
#Excel 模版目录/jboss/jboss-4.0.3/server/default/excel d:/excel
Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
#Excel 临时目录存放生成的Excel /jboss/jboss-4.0.3/server/default/temp d:/excel/temp
Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
Word_Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
Word_Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#URL加密方法,一般设为: QueryString,不设为不加密 
UrlEncoder=QueryString


不深入挖掘了,仅仅对站点系统进行检测,并无其它违规操作,相关截图也已删除,管理员大哥可查看相关操作日志。

漏洞证明:

1.基本信息
站点:https://txzb.miit.gov.cn
系统名:通信工程建设项目招标投标管理信息平台
存在问题:invoker/JMXInvokerServlet接口未限制访问
2.测试过程

1.jpg


2.jpg


可惜不是root
但不影响下一步深入
3.深入发现
(1)防御策略

#平台级别默认防御策略
defend.js=true
defend.sql=true
#例外页面(防御策略不过滤的页面)
defend.js.exception=EDFA00|EDFA01|
defend.sql.exception=PMBU05|
#例外页面(防御策略一定过滤的页面)
defend.js.always=*|%
defend.sql.always=
#防御xss跨站攻击用
defend.js.replacefrom=&|<|>|"|'
defend.js.replaceTo=&amp;|&lt;| &gt;|&quot;|&#x27;|&#x2f;
#防御sql脚本注入用
defend.sql.filter=exec|execute|update|delete |count |drop|chr|mid|master|truncate |like |char|declare|sitename|net user|xp_cmdshell| or | like'| and |exec|execute|insert |create | drop |


虽然做了些xxs和sql注入过滤,但安全是一个整体—。—。
(2)数据库配置

# JDBC Configuration for Oracle
jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@10.1.1.37:1521:zsdb
jdbc.username=gxbbid
jdbc.password=gxbbid
jdbc.maxActive=100
#jdbc.maxIdle=30
#jdbc.maxWait=100
#jdbc.removeAbandoned=true
#jdbc.removeAbandonedTimeout=30


(3)FTP配置信息

?#根目录
Path=/home/baoxin/jboss-4.2.3.GA/server/default/fileDir/
#上传文件的临时目录
Upload_Temp_File=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#上传最大值 1024*1024*100
Upload_Size_Max=104857600
#Ftp设置
Ftp_Host=10.1.1.18
Ftp_Username=ftpbid
FTP_Password=ftpbid
Ftp_Defart_Dir=/
Ftp_Port=21
Ftp_Prior_Download=true
#上传路径设置 相对Path的路径
#Upload_Bid_PackageDir=uploadDir/bidPackage
#Upload_Tender_File=uploadDir/tenderFile
#Excel 模版目录/jboss/jboss-4.0.3/server/default/excel d:/excel
Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
#Excel 临时目录存放生成的Excel /jboss/jboss-4.0.3/server/default/temp d:/excel/temp
Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
Word_Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
Word_Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#URL加密方法,一般设为: QueryString,不设为不加密 
UrlEncoder=QueryString


不深入挖掘了,仅仅对站点系统进行检测,并无其它违规操作,相关截图也已删除,管理员大哥可查看相关操作日志。

修复方案:

1.删除接口
2.限制访问
3.优化防御策略,增加恶意请求判断

版权声明:转载请注明来源 fuckadmin@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-05-09 16:27

厂商回复:

CNVD确认所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-06 07:02 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    不会是招投那个吧,难道有j拿shell新技巧

  2. 2015-05-06 09:07 | littelfire ( 普通白帽子 | Rank:515 漏洞数:69 | 星星之火,可以燎原。)

    jboss?

  3. 2015-05-06 09:18 | ddy ( 实习白帽子 | Rank:44 漏洞数:16 | 其实第一次要我挖洞我是拒绝的。因为,你不...)

    CCAV看这里

  4. 2015-05-06 09:31 | 茜茜公主 ( 普通白帽子 | Rank:2360 漏洞数:406 | 家里二宝出生,这几个月忙着把屎把尿...忒...)

    @littelfire 我觉得是,但我没拿下来哎,不知道是哪个系统

  5. 2015-05-06 09:38 | 黑黑 ( 路人 | Rank:17 漏洞数:2 | 现在的一片天,是肮脏的一片天。)

    CCTV 看这里!

  6. 2015-05-07 23:03 | 圣路西法 ( 路人 | Rank:4 漏洞数:3 | 围观大神ส็็็็็็ ̷̸̨̀͒̏̃ͦ...)

    CCTV 看这里!

  7. 2015-06-23 16:42 | 牛 小 帅 ( 普通白帽子 | Rank:363 漏洞数:84 | [code]心若没有栖息的地方,走到哪里都是在...)

    CCTV官方微博:看毛线,要下班了