当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0163682

漏洞标题:全国学生资助管理JAVA反序列化漏洞(理论上可泄漏2005年至今所有学生补助信息)

相关厂商:全国学生资助管理

漏洞作者: 路人甲

提交时间:2015-12-23 12:12

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-23: 细节已通知厂商并且等待厂商处理中
2015-12-27: 厂商已经确认,细节仅向厂商公开
2016-01-06: 细节向核心白帽子及相关领域专家公开
2016-01-16: 细节向普通白帽子公开
2016-01-26: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

全国学生资助

详细说明:

全国学生资助管理信息系统
先看下升级说明
可以看出 可查2005年至今的学生信息

二、升级说明
1.支持财政资金excel模板导入,支持追加追减(录入负数)的操作,年度修改为“使用年度”;省级选择“是否省直属县级”下拨资金。
2.三个其他资助业务新增支持能像在校生查看一样点击行政区划节点查看行政区划下全部的学生。
3.名单公示模块修改行政区划树,支持下钻到县级查看公示名单。
4.根据目前的获取学年、年份逻辑,考虑到系统上线N年之后可能无法方便的查询历史数据,“获取学年控件的数据” 公共方法有以下改动:修改为2005-2006学年至未来5个学年;“获取年份控件的数据”公共方法有以下改动:修改为2005年至今。
5.修改资助名单中的申请理由在确认之前就保存的BUG;
6.资助历史查询列表添加提示“注:金额单位(元)”。
7.修改“修改困难生窗口,去掉家庭欠债金额、本人是否残疾、家庭是否遭受自然灾害、家庭是否遭受突发意外事件,相应的描述信息和残疾类别还显示”的BUG。
8.目前系统支持2003,2007,2010,2013等excel版本,去掉系统中“只支持2003版”的提示语。
9.资助名单审核后返回提示信息,在审核不通过提示框中添加蓝字链接“查看不通过明细“ 然后弹出窗口,列出所有审核未通过名单的各项关键指标值(不符合标红),并添加学籍号、姓名查询项。
10.系统中在校生查看、资助名单等列表中,按照问题学籍的名单置顶的方式进行排序。
11.修改助学金资金发放增加批量删除金额功能为:每次覆盖发放,去掉发放详情查看、和详情窗口中的删除功能。
12.省级用户的名单公示模块行政区划树可以展开至县级来查看县级的统计信息。
13.银行卡999999 模版中填写“无”无法校验通过的BUG。修改为:填写银行卡号999999时银行名称不填写或者填写“无”均可校验通过。
14.修改学生班级信息为空的时候,导致免学费审核规则SQL出错的问题;
15.修改分专业免学费标准审核模块查询结果审核功能能够审核全省的BUG。
16.修改主管部门名单审核-高级查询-重置按钮BUG;
17.修改免学费相关模块的年级下拉框内容过少的BUG; 
18.修改学制问题;在校生表中是一年半制但在助学金表中是一年制,修改免学费助学金的在校生视图实体属性类型;


**.**.**.**:7003/
存在JAVA反序列化漏洞
反弹一个shell

3.jpg


找到目录

<?xml version='1.0' encoding='UTF-8'?>
<domain xmlns="http://**.**.**.**/weblogic/domain" xmlns:sec="http://**.**.**.**/weblogic/security" xmlns:wls="http://**.**.**.**/weblogic/security/wls" xmlns:xsi="http://**.**.**.**/2001/XMLSchema-instance" xsi:schemaLocation="http://**.**.**.**/weblogic/security/xacml http://**.**.**.**/weblogic/security/xacml/1.0/xacml.xsd http://**.**.**.**/weblogic/security/providers/passwordvalidator http://**.**.**.**/weblogic/security/providers/passwordvalidator/1.0/passwordvalidator.xsd http://**.**.**.**/weblogic/domain http://**.**.**.**/weblogic/1.0/domain.xsd http://**.**.**.**/weblogic/security http://**.**.**.**/weblogic/1.0/security.xsd http://**.**.**.**/weblogic/security/wls http://**.**.**.**/weblogic/security/wls/1.0/wls.xsd">
  <name>xszz_domain</name>
  <domain-version>**.**.**.**</domain-version>
  <security-configuration>
    <name>xszz_domain</name>
    <realm>
      <sec:authentication-provider xsi:type="wls:default-authenticatorType"></sec:authentication-provider>
      <sec:authentication-provider xsi:type="wls:default-identity-asserterType">
        <sec:active-type>AuthenticatedUser</sec:active-type>
      </sec:authentication-provider>
      <sec:role-mapper xmlns:xac="http://**.**.**.**/weblogic/security/xacml" xsi:type="xac:xacml-role-mapperType"></sec:role-mapper>
      <sec:authorizer xmlns:xac="http://**.**.**.**/weblogic/security/xacml" xsi:type="xac:xacml-authorizerType"></sec:authorizer>
      <sec:adjudicator xsi:type="wls:default-adjudicatorType"></sec:adjudicator>
      <sec:credential-mapper xsi:type="wls:default-credential-mapperType"></sec:credential-mapper>
      <sec:cert-path-provider xsi:type="wls:web-logic-cert-path-providerType"></sec:cert-path-provider>
      <sec:cert-path-builder>WebLogicCertPathProvider</sec:cert-path-builder>
      <sec:name>myrealm</sec:name>
      <sec:password-validator xmlns:pas="http://**.**.**.**/weblogic/security/providers/passwordvalidator" xsi:type="pas:system-password-validatorType">
        <sec:name>SystemPasswordValidator</sec:name>
        <pas:min-password-length>8</pas:min-password-length>
        <pas:min-numeric-or-special-characters>1</pas:min-numeric-or-special-characters>
      </sec:password-validator>
    </realm>
    <default-realm>myrealm</default-realm>
    <credential-encrypted>{AES}Tlzl5FpE7sVjdEDt92qVGaeD3KVthu9552UQ+vVbQH5gXD6DqAq2i/XuXH5TPJOeyS6HDcM0QlGpK4ToyqvYwiFt3bU8sH6gEcMIthM4j3HkEmhKbHR1wH6ate+Zsc/M</credential-encrypted>
    <node-manager-username>jTvVLXhKvF</node-manager-username>
    <node-manager-password-encrypted>{AES}GbczHwiGNJmemr1FerSE9GNZGvbFTYIrA8hx54Deieg=</node-manager-password-encrypted>
  </security-configuration>
  <server>
    <name>AdminServer</name>
    <listen-address>**.**.**.**</listen-address>
  </server>
  <server>
    <name>ManagedServer_1</name>
    <listen-port>7003</listen-port>
    <cluster>new_Cluster_1</cluster>
    <listen-address>**.**.**.**</listen-address>
    <jta-migratable-target>
      <name>ManagedServer_1</name>
      <user-preferred-server>ManagedServer_1</user-preferred-server>
      <cluster>new_Cluster_1</cluster>
    </jta-migratable-target>
  </server>
  <server>
    <name>ManagedServer_2</name>
    <listen-port>7003</listen-port>
    <cluster>new_Cluster_1</cluster>
    <listen-address>**.**.**.**</listen-address>
    <jta-migratable-target>
      <name>ManagedServer_2</name>
      <user-preferred-server>ManagedServer_2</user-preferred-server>
      <cluster>new_Cluster_1</cluster>
    </jta-migratable-target>
  </server>
  <server>
    <name>ManagedServer_3</name>
    <listen-port>7003</listen-port>
    <cluster>new_Cluster_1</cluster>
    <listen-address>**.**.**.**</listen-address>
    <jta-migratable-target>
      <name>ManagedServer_3</name>
      <user-preferred-server>ManagedServer_3</user-preferred-server>
      <cluster>new_Cluster_1</cluster>
    </jta-migratable-target>
  </server>
  <cluster>
    <name>new_Cluster_1</name>
    <cluster-address>**.**.**.**:7003,**.**.**.**:7003,**.**.**.**:7003</cluster-address>
    <cluster-messaging-mode>unicast</cluster-messaging-mode>
  </cluster>
  <production-mode-enabled>true</production-mode-enabled>
  <embedded-ldap>
    <name>xszz_domain</name>
    <credential-encrypted>{AES}G59U/03Y5SktW/mnAUWMYqNpnzA35u86HnvoJBbz6/HCUiBtogUPTdgsTzSZjf/D</credential-encrypted>
  </embedded-ldap>
  <configuration-version>**.**.**.**</configuration-version>
  <app-deployment>
    <name>zzxt_20151119</name>
    <target>new_Cluster_1</target>
    <module-type>war</module-type>
    <source-path>/home/weblogic/production/zzxt_20151119</source-path>
    <security-dd-model>DDOnly</security-dd-model>
  </app-deployment>
  <migratable-target>
    <name>ManagedServer_1 (migratable)</name>
    <notes>This is a system generated default migratable target for a server. Do not delete manually.</notes>
    <user-preferred-server>ManagedServer_1</user-preferred-server>
    <cluster>new_Cluster_1</cluster>
  </migratable-target>
  <migratable-target>
    <name>ManagedServer_2 (migratable)</name>
    <notes>This is a system generated default migratable target for a server. Do not delete manually.</notes>
    <user-preferred-server>ManagedServer_2</user-preferred-server>
    <cluster>new_Cluster_1</cluster>
  </migratable-target>
  <migratable-target>
    <name>ManagedServer_3 (migratable)</name>
    <notes>This is a system generated default migratable target for a server. Do not delete manually.</notes>
    <user-preferred-server>ManagedServer_3</user-preferred-server>
    <cluster>new_Cluster_1</cluster>
  </migratable-target>
  <admin-server-name>AdminServer</admin-server-name>
  <jdbc-system-resource>
    <name>QGXSZZ</name>
    <target>new_Cluster_1</target>
    <descriptor-file-name>jdbc/QGXSZZ-1823-jdbc.xml</descriptor-file-name>
  </jdbc-system-resource>


/home/weblogic/production/zzxt_20151119
附一张程序的截图

3.jpg


我就不深入了

漏洞证明:

附一张程序的截图

3.jpg


反弹一个shell

3.jpg

修复方案:

升级

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2015-12-27 21:36

厂商回复:

CNVD确认所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置。

最新状态:

暂无

漏洞评价:

评价