当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121298

漏洞标题:中国联通某省分公司综合运维系统沦陷(涉及联通全省员工信息+大量企业订单信息+无法言尽的内部信息)已Getshell

相关厂商:中国联通

漏洞作者: 几何黑店

提交时间:2015-06-18 09:22

修复时间:2015-08-07 08:42

公开时间:2015-08-07 08:42

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-23: 厂商已经确认,细节仅向厂商公开
2015-07-03: 细节向核心白帽子及相关领域专家公开
2015-07-13: 细节向普通白帽子公开
2015-07-23: 细节向实习白帽子公开
2015-08-07: 细节向公众公开

简要描述:

目录遍历越权+JBOSS 代码执行+tomcat中间件弱口令+用户弱口令+未授权访问+获取所有用户密码
应该是记全了,也有可能没记全的

详细说明:

首先,通过搜索引擎搜索到http://61.241.82.144/这个IP,看这个系统的名字就觉得高大上.
于是开启nmap扫一下端口,发现381这个端口是jboss的,那么利用jboss的getshell方法来拿个shell,乌云随便一搜就大把的案例, 由于篇幅有限,这里就不赘述了.
拿到http://61.241.82.144:381/upload5warn/index_bak.jsp

QQ图片20150618030305.jpg


QQ图片20150618030414.png


QQ图片20150618030357.png


可以看到在内网,应该是内网有多台服务器,映射了端口出来.还是ROOT权限
翻了很久,也只翻到一些数据库信息,试了很久,也没连上.

QQ图片20150618030601.jpg


这里先不管他了,我们来看其他的HTTP端口.
http://61.241.82.144:2585/
tomcat中间件弱口令
admin/admin
那就再传个SHELL上去吧,看看这个端口是哪台内网机器

QQ图片20150618030846.png


http://61.241.82.144:2585/exp/ashura.jsp


QQ图片20150618030944.png


是台WINDOWS的系统

QQ图片20150618031022.png


翻了很久,也是没发现可深入利用的,再次放弃.
回到运维系统的登录界面,试了SQL注入,也没跑出来,
就随便手工试了几个默认的管理员密码,可是都不成功,但其中有一次密码错误回退登陆框的时候出现了系统内部的界面,很奇怪,多试了几次以后,发现能够把页面停止,不让它跳转回登录界面,但这时已经看到系统长什么样子也是一种安慰吧,习惯性看了一下框架源代码.发现有个文件地址可以直接访问.

QQ图片20150618031505.png


http://61.241.82.144:2181/WebApp/emoss/getMessages.jsp#none


是个公告的页面,而且附件还可以下载

QQ图片20150618031914.png


下个运维系统说明文档看看,说不定能有些默认的用户名密码之类的.

QQ图片20150618032011.png


果然,有张图里有几个用户名,这下终于知道管理员长什么样子了.
试了几个用户弱口令都不对,最后抱着试最后一个,不对,就算了.
谁知道,还真猜中了.
zhugejing/zhugejing123
功夫不负有心人啊,终于是进来了

漏洞证明:

QQ图片20150618032342.png


QQ图片20150618032354.png


QQ图片20150618005936.png


QQ图片20150618010041.png


QQ图片20150618010607.png


QQ图片20150618011421.png


QQ图片20150618011753.png


QQ图片20150618011833.png


QQ图片20150618012951.png


QQ图片20150618011919.png


QQ图片20150618012033.png


QQ图片20150618012203.png


QQ图片20150618012547.png


QQ图片20150618012711.png


QQ图片20150618012951.png


QQ图片20150618013214.png


QQ图片20150618013651.png


QQ图片20150618013750.png


QQ图片20150618014150.png


QQ图片20150618024351.png


QQ图片20150618024535.png


QQ图片20150618024628.jpg


虽然涉及到非常多的信息了,但是总觉的少了点,因为这个账户的权限比较低,还有很多看不了,看来只有拿到系统管理员权限的账号才行了.
继续找了1个小时,发现了目录遍历

http://61.241.82.144:2181/WebApp/emoss/files/account/


试了几个文件,都是可以未授权访问,直接可以访问页面的内容.
http://61.241.82.144:2181/WebApp/emoss/files/account/ifAAUserApplyGrid.jsp
找到用户管理的页面,这个应该是管理员权限才可以访问的.但有个问题是不登录任何用户的情况下,只能看到

QQ图片20150618033834.png


这个页面,并不能编辑用户,提示没有登录.
那我们就去登录一下前面获得的用户

QQ图片20150618022104.png


从源代码里,可以直接查看到用户的密码

QQ图片20150618022236.png


QQ图片20150618022439.png


QQ图片20150618023537.png


试了几个账户,都能正常登录系统,系统管理员账户终于进来了.

QQ图片20150618022753.png


QQ图片20150618024142.jpg


8000多员工信息,人事管理资料,大客户资料,大客户订单合同信息,终于是全部弄完了,好累,从下午一直到凌晨4点才全部弄完,光写这个报告,就写了2个多小时.

修复方案:

你懂的

版权声明:转载请注明来源 几何黑店@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-06-23 08:40

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协助网站管理单位处置.

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-18 10:01 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    几何大哥 求别打码。。。我也找到一个后台,,,就差帐号和密码呢。。。。

  2. 2015-06-18 10:24 | 几何黑店 ( 核心白帽子 | Rank:1527 漏洞数:231 | 我要低调点儿.......)

    @’‘Nome 已打码

  3. 2015-06-18 10:31 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @几何黑店 你不打码 我们还是好基友。。。。

  4. 2015-06-18 21:43 | we8_ ( 实习白帽子 | Rank:32 漏洞数:7 | 嗯。)

    @几何大哥,能否留个联系方式啊?

  5. 2015-08-07 08:48 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    功夫不负有心人