当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147693

漏洞标题:中国联通浙江省某重要系统存在多个漏洞可影响内网安全(弱口令/SQL注入/Getshell)

相关厂商:中国联通

漏洞作者: Xmyth_夏洛克

提交时间:2015-10-19 09:27

修复时间:2015-12-07 09:54

公开时间:2015-12-07 09:54

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-19: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-11-02: 细节向核心白帽子及相关领域专家公开
2015-11-12: 细节向普通白帽子公开
2015-11-22: 细节向实习白帽子公开
2015-12-07: 细节向公众公开

简要描述:

RT

详细说明:

URL:**.**.**.**/gnop/system/Login_logout.action
中国联通无线网路智能优化及业务分析系统

登陆页面.png


0x01弱口令
无验证码可爆破

爆破.jpg


登陆个权限比较大的账号,这个账号可能是权限最高的
可看全省工作人员账号信息,并修改密码

全省工作人员信息.png


可修改密码.png


监控全省业务信息

监控.png


gms覆盖评估表.png


工单管理

工单管理.png


片区管理

片区管理.jpg


全省考核指标

全省考核指标.png


数据管理

数据管理.png


小区话务管理

小区话务管理.png


质量监控等等

质量监控.jpg


0x02 sql注入一枚

注入页面.png


这个页面存在注入

**.**.**.**/gnot/servlet/BulletinServlet?method=getBulletinDetailPage&bulletin_id=4001


bulletin_id存在注入

存在注入点.jpg


DBA权限

dba.png


19个库

19个库.jpg


95个表

Database: NOP3
[95 tables]
+------------------------------+
| AAAA_TS_SJ |
| COMMON_TREE_NODE_RELATION |
| COMMON_TREE_PROCEDURE |
| CSGL_TREE_NODE |
| CSGL_TREE_NODE_RELATION |
| CSGL_TREE_USER |
| CS_MODEL_NEW |
| CS_PARAM_NEW |
| EXP_FILE_NEW |
| EXP_FILE_SUB |
| EXP_FILE_SUB_TITLE |
| EXP_RELATION |
| EXP_TREE_TYPE |
| FORUMBBSX |
| FORUMBOARD |
| FORUMBOARDPERMISSION |
| FORUMSETUP |
| FORUMTOPIC |
| FORUMTOPICTYPES |
| FORUMUPFILE |
| FORUMUSER |
| FORUMUSERGROUPS |
| GNO_CHECK_JWD |
| GNO_URL_RECORD_TAB |
| GNO_URL_RECORD_TAB1 |
| IMP_FILE |
| IMP_FILE_RECORD |
| IMP_FILE_TITLE |
| IMP_TITLE_CFG |
| IMP_TOOLBAR |
| KH_DS_HO_SUCC_CELL_N |
| KH_DS_SDCCH_CONG_CELL_N |
| KH_DS_TCH_DROP_CELL_N |
| KH_N_HO_SUCC_CELL_N |
| KH_N_SDCCH_CONG_CELL_N |
| KH_N_TCH_DROP_CELL_N |
| KH_QS_HO_SUCC_CELL_N |
| KH_QS_R_CONN_CELL_N |
| KH_QS_SDCCH_CONG_CELL_N |
| KH_QS_TCH_DROP_CELL_N |
| KPI_FORMULA_DIY |
| KPI_FORMULA_MODE |
| REGION |
| RENDER_SETTING |
| RENDER_SETTING_NEW |
| SJN_DAY_FAC_ASSESS |
| SJN_DAY_MRG_ASSESS |
| SJN_PROV_ADJCELL |
| SJN_PROV_ADJCELL_UPHIS |
| SJN_PRO_BASECELL |
| SJN_PRO_CELL_MODIFY |
| SJN_PRO_REPEATER |
| SJ_PRO_GROUP |
| SJ_PRO_GROUP_CELL |
| TREE_NODE |
| TREE_NODE_RELATION |
| UM2_PERMISSION |
| UM2_PERMISSION_RELATION |
| UM2_PERMISSION_RELATION_TEMP |
| UM2_PERMISSION_TEMP |
| UM2_PRIVILEGE |
| UM2_SESSIONID |
| V2_BORDER_CELL |
| V2_BORDER_CELL_HU |
| V2_BORDER_CELL_HZ |
| V2_BORDER_CELL_JH |
| V2_BORDER_CELL_JX |
| V2_BORDER_CELL_LS |
| V2_BORDER_CELL_NB |
| V2_BORDER_CELL_QZ |
| V2_BORDER_CELL_SX |
| V2_BORDER_CELL_TZ |
| V2_BORDER_CELL_WZ |
| V2_BORDER_CELL_ZS |
| V_TS_POINT |
| WBF_BMTZ_DETAIL |
| WG_ADJCELL_RENDER |
| WG_BORDERADJ_RENDER |
| WG_CELL_GROUP |
| WG_CELL_GROUP_CELLS |
| WG_CELL_GROUP_MAP |
| WG_CM_PARAMS |
| WG_CM_RENDER |
| WG_CM_SIMRENDER |
| WG_FREQ_RENDER |
| WG_GRADE_RENDER |
| WG_KPI_RENDER |
| WG_KPI_RENDER_FUNC |
| WG_MULTIKPI_RENDER |
| WG_PARAM_RENDER |
| WG_RENDER_SETTING |
| WG_RENDER_SETTING_N |
| WG_SDCCHNO_RENDER |
| WG_TABLE_TIP |
| WG_TCHNO_RENDER |
+------------------------------+

漏洞证明:

0x03 Struts2可入内网

Struts2证明.jpg


上传马

Struts2上传大马.png


shell地址

**.**.**.**/gnop/JspSpyJDK5.jsp


ip.jpg


端口情况.png


内网ip,端口转发

端口转发.png


添加用户

添加用户成功.png


可登陆远程桌面,为了不影响业务就不登陆了

登陆远程桌面.png


修复方案:

1.弱口令
2.sql注入参数过滤
3.升级框架

版权声明:转载请注明来源 Xmyth_夏洛克@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-10-23 09:53

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2015-10-19 10:06 | 路人毛 ( 实习白帽子 | Rank:48 漏洞数:15 | 呵呵)

    手上有个联通的st2,也发了吧