当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0190758

漏洞标题:腾讯某系统补丁不及时导致命令执行/涉及46个源码

相关厂商:腾讯

漏洞作者: 路人甲

提交时间:2016-03-30 16:28

修复时间:2016-03-31 10:43

公开时间:2016-03-31 10:43

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-03-30: 细节已通知厂商并且等待厂商处理中
2016-03-31: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

不行了,我快睡着了.

详细说明:

mask 区域 
1.http://**.**.**/loginfrom=%2f_
**********
*****^^证明^*****
*****ig.xml都是^*****
*****7e5642348b9c2a22ddd4.png&qu*****
*****enkins/use*****
*****erProperty plugin=&q*****
*****ngwu@tencent.com*****
*****r_-UserPropert*****
**********
*****82422f5296dab65eb368.png&qu*****
**********
*****enkins/use*****
**********
*****erProperty plugin=&q*****
*****eng@tencent.com&*****
*****r_-UserPropert*****
**********
*****5d1eb0c25d2f9ceecec3.png&qu*****
**********
*****erProperty plugin=&q*****
*****kma@tencent.com&*****
*****r_-UserPropert*****
**********
2.http://**.**.**/loginfrom=%2f_
**********
*****^列化^*****
*****adm*****
*****08fa288317fa436a69ad.png&qu*****
**********
*****^^个*****
*****6ec861aadc9fad045643.png&qu*****
**********
*****c/pa*****
**********
*****0:root:/roo*****
*****bin:/sbi*****
*****:/sbin:/sb*****
*****r/adm:/sb*****
*****ool/lpd:/s*****
*****:/sbin:/*****
*****wn:/sbin:/s*****
*****:/sbin:/*****
*****/spool/mail*****
*****spool/uucp:/*****
*****tor:/root:/*****
*****/usr/games:*****
*****var/gopher:/*****
*****/var/ftp:/s*****
*****body:/:/s*****
*****sage bus:/:/*****
*****memory owner:/d*****
*****c/abrt:/sb*****
***** daemon:/:/*****
*****/ntp:/sbi*****
*****r":/var/empty/*****
*****pool/postfix*****
*****d SSH:/var/empty*****
*****::/:/sbi*****
*****aemon:/:/s*****
*****ient User:/*****
*****ver:/var/lib/ng*****
*****home/fucaiad*****
*****:/var/www:/*****
*****/home/mys*****
*****de&g*****
*****^内网^*****
*****704f1ddbbb666fca5b48.png&qu*****
*****fig*****
*****Ethernet  HWaddr *****
*****Bcast:10.105.63.25*****
*****:5054:ff:fe1a:*****
*****G MULTICAST  MT*****
*****errors:0 dropped*****
*****rors:0 dropped:0 *****
*****s:0 txqueu*****
*****4 GiB)  TX bytes:2*****
**********
*****cap:Local*****
*****27.0.0.1  M*****
*****r: ::1/128*****
*****UNNING  MTU:*****
*****rrors:0 dropped:*****
*****ors:0 dropped:0 o*****
*****ons:0 txq*****
*****5 GiB)  TX bytes:*****
**********
*****cod*****

漏洞证明:

http://115.159.74.244:9090/login?from=%2f
先放两个xml文件证明下是腾讯的
看了下 users下的config.xml都是腾讯的邮箱

111.png


/home/fucaiadmin/.jenkins/users/haoqingwu

<hudson.tasks.Mailer_-UserProperty plugin="mailer@1.8">
      <emailAddress>haoqingwu@tencent.com</emailAddress>
    </hudson.tasks.Mailer_-UserProperty>


111.png


/home/fucaiadmin/.jenkins/users/alecfeng

<hudson.tasks.Mailer_-UserProperty plugin="mailer@1.8">
      <emailAddress>alecfeng@tencent.com</emailAddress>
    </hudson.tasks.Mailer_-UserProperty>


111.png


<hudson.tasks.Mailer_-UserProperty plugin="mailer@1.8">
      <emailAddress>kevinkma@tencent.com</emailAddress>
    </hudson.tasks.Mailer_-UserProperty>


http://115.159.74.244:9090/login?from=%2f
jenkins java反序列化命令执行
fucaiadmin

111.png


涉及40多个源码

111.png


cat /etc/passwd

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
saslauth:x:499:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
nslcd:x:65:55:LDAP Client User:/:/sbin/nologin
nginx:x:498:497:Nginx web server:/var/lib/nginx:/sbin/nologin
fucaiadmin:x:500:500::/home/fucaiadmin:/bin/bash
apache:x:48:48:Apache:/var/www:/sbin/nologin
mysql:x:501:501::/home/mysql:/bin/bash


arp -a 应该是内网环境吧

111.png


ifconfig -a

eth0      Link encap:Ethernet  HWaddr 52:54:00:1A:70:DD  
          inet addr:10.105.34.151  Bcast:10.105.63.255  Mask:255.255.192.0
          inet6 addr: fe80::5054:ff:fe1a:70dd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:139748872 errors:0 dropped:0 overruns:0 frame:0
          TX packets:110611616 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:18737794617 (17.4 GiB)  TX bytes:26970228735 (25.1 GiB)
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:17584422 errors:0 dropped:0 overruns:0 frame:0
          TX packets:17584422 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1660787828 (1.5 GiB)  TX bytes:1660787828 (1.5 GiB)


修复方案:

jenkins java反序列化命令执行

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2016-03-31 10:43

厂商回复:

非常感谢您的反馈,经评估报告中反馈的问题并不属于腾讯业务,请反馈给相关厂商处理,避免危害用户安全。如果您有任何的疑问,欢迎反馈,我们会有专人跟进处理。

最新状态:

暂无

漏洞评价:

评价

  1. 2016-03-30 16:45 | prolog ( 普通白帽子 | Rank:610 漏洞数:118 | Rank:8888 漏洞数:1024 | 低调求发展)

    6666666

  2. 2016-03-30 17:31 | 刘海哥 ( 普通白帽子 | Rank:115 漏洞数:29 | 索要联系方式但不送礼物的厂商定义为无良厂...)

    6

  3. 2016-03-30 19:04 | 坏男孩-A_A ( 实习白帽子 | Rank:61 漏洞数:22 | 膜拜学习中)

    - -