当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116244

漏洞标题:启明星辰/网御星云安全配置核查管理系统存在定点的可信路径权限提升漏洞

相关厂商:北京启明星辰信息安全技术有限公司

漏洞作者: 路人甲

提交时间:2015-05-26 14:10

修复时间:2015-08-25 14:54

公开时间:2015-08-25 14:54

漏洞类型:权限提升

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-26: 细节已通知厂商并且等待厂商处理中
2015-05-27: 厂商已经确认,细节仅向厂商公开
2015-05-30: 细节向第三方安全合作伙伴开放
2015-07-21: 细节向核心白帽子及相关领域专家公开
2015-07-31: 细节向普通白帽子公开
2015-08-10: 细节向实习白帽子公开
2015-08-25: 细节向公众公开

简要描述:

http://wooyun.org/bugs/wooyun-2010-046266 对,就是参考的这个。基于个人电脑的安装版本,但是此基线的并不能直接开机或咋的利用,必须要等到一个固定的时间点才可以触发,所以比较隐蔽。 多啰嗦一句,虽然漏洞看起来危害没那么大,但是作为安全公司的安全产品,再小的安全问题都必须以认真的态度去处理。

详细说明:

其他信息,请参看 WooYun: 启明星辰/网御星云安全配置核查管理系统存在默认数据库口令及默认账户问题
到每天凌晨整点1点,会自动执行某个程序备份程序,但是由于在处理命令行的时候没有带上双引号””,导致此问题的发生,会直接执行默认安装路径下的program.exe
比如,安装在C盘默认路径的情况(启明星辰版):
C:\Program Files\Venustech

image025.png


C盘根目录,上一个你懂的东西:

image026.png


到了凌晨一点零一秒……

image027.png


神奇的进程就出现了在后台!而且用户是完全不知晓的
原本是想启动C:\Program Files\Venustech\CVS\webapp\WEB-INF\_conf\event\rar

image028.png


命令行如下:

image029.png


漏洞证明:

又或者,你把C改成了D,但是还是带有空格,比如(网御星云版):
D:\Program Files\Leadsec
此时在D盘根目录上放下你懂的Program.exe

image030.png


当时间到了凌晨一点零一秒的时候……
后台又多了一个程序在运行……

image031.png


命令好长

image032.png


其实这个问题非常的隐蔽,在一般的情况下可能都发现不了。但是除了一般的手段去发现漏洞,我们不是还有一个方法吗?分析日志!
应用日志里面有一个tsoc.log的日志,下面这个报错的日志多次出现,足以说明问题了吧?

201x-xx-xx 11:11:11,214 INFO  [Thread-25] - Backup event:
java.io.IOException: Cannot run program "C:\Program": CreateProcess error=2, ϵͳÕҲ»µ½ָ¶
	at java.lang.ProcessBuilder.start(ProcessBuilder.java:1041)
	at java.lang.Runtime.exec(Runtime.java:617)
	at java.lang.Runtime.exec(Runtime.java:450)
	at java.lang.Runtime.exec(Runtime.java:347)
	at com.venustech.tsoc.cupid.sysconfig.conf.service.MysqlEventBackupUtil.backUpEventData(MysqlEventBackupUtil.java:177)
	at com.venustech.tsoc.cupid.sysconfig.conf.service.EventBackupTask.run(EventBackupTask.java:88)
Caused by: java.io.IOException: CreateProcess error=2, ϵͳÕҲ»µ½ָ¶
	at java.lang.ProcessImpl.create(Native Method)
	at java.lang.ProcessImpl.<init>(ProcessImpl.java:376)
	at java.lang.ProcessImpl.start(ProcessImpl.java:136)
	at java.lang.ProcessBuilder.start(ProcessBuilder.java:1022)
	... 5 more


很明显看出,想调用Program但是根目录并不存在此程序。

修复方案:

小漏洞,利用也很苛刻,但是作为安全公司,再小的安全问题,也应该重视、应该解决。记得在create进程的时候,加个双引号吧

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-05-27 14:53

厂商回复:

经确认问题存在,我们正在修复,谢谢。

最新状态:

暂无

漏洞评价:

评论