当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094496

漏洞标题:释锐教育校校用平台通用远程命令执行

相关厂商:上海释锐教育软件有限公司

漏洞作者: 路人甲

提交时间:2015-01-29 15:58

修复时间:2015-04-29 16:00

公开时间:2015-04-29 16:00

漏洞类型:远程代码执行

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-06: 细节向第三方安全合作伙伴开放
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-04-29: 细节向公众公开

简要描述:

释锐教育校校用平台通用远程命令执行,可批量getshell.

详细说明:

一、
上海释锐网络信息服务有限公司成立于2002年,是一家注册并入住张江高科技园区的教育软件企业。 释锐™致力于传播教育先进力量,为教育行业用户提供从校校用™软件及服务、910SPACE.COM教育社区网站运营到教育论坛与咨询服务等全方位的教育信息化应用解决方案,通过教育信带动推动教育现代化。 荣誉与市场地位: 1.“释锐®校校用™平台”2004荣获“上海市中小学教育信息化应用示范项目”。 2.“释锐®校校用™平台”2008荣获“上海市张江高科技园区科技创新专项资金政府资助项目”。 3.“释锐®校校用™平台”2009荣获“上海市科技型中小企业技术创新项目”。 4.截至2009年6月,释锐公司在基础教育领域已经累计研发时间超过6年,投入经费超过2000万元,发展了来自全国各地的中高端学校类客户1500多家,网站个人类客户15万人,为超过50万直接终端客户连续6年提供了高品质服务。雄踞上海市重点中学(示范性实验高中、初中)40%的市场份额。 软件服务: 1.释锐更重视售后服务; 2.释锐保/ThreePLUS专有服务品牌,提供24小时随叫随到延续保障服务; 3.释锐™校校用™SAAS软件托管服务,构建云计算软件应用新模式。

1.jpg


二、在测试过程中,发现该系统用于各中小学校,然而在系统开发中却加入中JBoss做为中间件,但该中间件版本却是使用了有问题的 Servlet 2.4; JBoss-4.0.5.GA。
存在一个invoker/JMXInvokerServlet接口,该接口可远程部署上传war,可进行批量getshell。
三、
影响的站点:
jgxx.hkedu.sh.cn
www.hxyz.com.cn:81
123.178.106.34:8080
www.nj29jt.net:88
221.226.101.250
218.3.207.47:8080
xz34z.xze.cn:8080
116.236.133.130:81
zjcsnz.zje.net.cn:8080
218.94.62.26:8000
www.mdsz.com.cn:8080
deyu.dfzx.net.cn
xxjs.dfzx.net.cn
222.132.30.248
www.dfzx.net.cn
www.tyjsw.net
grecord.sjfls.sjedu.cn:81
58.216.183.197:8090
下面将用一个站点做为getshell案例:
dfzx.net.cn

2.jpg


进一步测试发现,大部门的站点均是以system账户运行该系统。

3.jpg


四、
通用sa账号及密码:

4.jpg


<?xml version="1.0" encoding="UTF-8"?>
<datasources>
<local-tx-datasource>
<jndi-name>DBConnectionAspDS</jndi-name>
<connection-url>jdbc:sqlserver://127.0.0.1:1433;databaseName=xiaoxiaoyong_school</connection-url>
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
<user-name>sa</user-name>
<password>threenet</password>
<metadata>
<type-mapping>MS SQLSERVER2000</type-mapping>
</metadata>
</local-tx-datasource>


<local-tx-datasource>
<jndi-name>MasterDS</jndi-name>
<connection-url>jdbc:sqlserver://127.0.0.1:1433;databaseName=master</connection-url>
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
<user-name>sa</user-name>
<password>threenet</password>
<metadata>
<type-mapping>MS SQLSERVER2000</type-mapping>
</metadata>
</local-tx-datasource>

</datasources>

漏洞证明:

一、
上海释锐网络信息服务有限公司成立于2002年,是一家注册并入住张江高科技园区的教育软件企业。 释锐™致力于传播教育先进力量,为教育行业用户提供从校校用™软件及服务、910SPACE.COM教育社区网站运营到教育论坛与咨询服务等全方位的教育信息化应用解决方案,通过教育信带动推动教育现代化。 荣誉与市场地位: 1.“释锐®校校用™平台”2004荣获“上海市中小学教育信息化应用示范项目”。 2.“释锐®校校用™平台”2008荣获“上海市张江高科技园区科技创新专项资金政府资助项目”。 3.“释锐®校校用™平台”2009荣获“上海市科技型中小企业技术创新项目”。 4.截至2009年6月,释锐公司在基础教育领域已经累计研发时间超过6年,投入经费超过2000万元,发展了来自全国各地的中高端学校类客户1500多家,网站个人类客户15万人,为超过50万直接终端客户连续6年提供了高品质服务。雄踞上海市重点中学(示范性实验高中、初中)40%的市场份额。 软件服务: 1.释锐更重视售后服务; 2.释锐保/ThreePLUS专有服务品牌,提供24小时随叫随到延续保障服务; 3.释锐™校校用™SAAS软件托管服务,构建云计算软件应用新模式。

1.jpg


二、在测试过程中,发现该系统用于各中小学校,然而在系统开发中却加入中JBoss做为中间件,但该中间件版本却是使用了有问题的 Servlet 2.4; JBoss-4.0.5.GA。
存在一个invoker/JMXInvokerServlet接口,该接口可远程部署上传war,可进行批量getshell。
三、
影响的站点:
jgxx.hkedu.sh.cn
www.hxyz.com.cn:81
123.178.106.34:8080
www.nj29jt.net:88
221.226.101.250
218.3.207.47:8080
xz34z.xze.cn:8080
116.236.133.130:81
zjcsnz.zje.net.cn:8080
218.94.62.26:8000
www.mdsz.com.cn:8080
deyu.dfzx.net.cn
xxjs.dfzx.net.cn
222.132.30.248
www.dfzx.net.cn
www.tyjsw.net
grecord.sjfls.sjedu.cn:81
58.216.183.197:8090
下面将用一个站点做为getshell案例:
dfzx.net.cn

2.jpg


进一步测试发现,大部门的站点均是以system账户运行该系统。

3.jpg


四、
通用sa账号及密码:

4.jpg


<?xml version="1.0" encoding="UTF-8"?>
<datasources>
<local-tx-datasource>
<jndi-name>DBConnectionAspDS</jndi-name>
<connection-url>jdbc:sqlserver://127.0.0.1:1433;databaseName=xiaoxiaoyong_school</connection-url>
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
<user-name>sa</user-name>
<password>threenet</password>
<metadata>
<type-mapping>MS SQLSERVER2000</type-mapping>
</metadata>
</local-tx-datasource>


<local-tx-datasource>
<jndi-name>MasterDS</jndi-name>
<connection-url>jdbc:sqlserver://127.0.0.1:1433;databaseName=master</connection-url>
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
<user-name>sa</user-name>
<password>threenet</password>
<metadata>
<type-mapping>MS SQLSERVER2000</type-mapping>
</metadata>
</local-tx-datasource>

</datasources>

修复方案:

1.删除接口
2.限制访问

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-02-03 14:18

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无


漏洞评价:

评论