当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0199257

漏洞标题:运营商安全之中国联通某管理系统命令执行(多站管理账户泄漏)

相关厂商:中国联通

漏洞作者: 李旭敏

提交时间:2016-04-22 15:30

修复时间:2016-06-10 09:50

公开时间:2016-06-10 09:50

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-22: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开

简要描述:

听说几何黑店来签到了,我也就出山了

详细说明:

**.**.**.**:8080/whz/to_Login_login.html

存在struts2命令执行
对应的url地址是

http://**.**.**.**:8080


**.**.**.**:8080/whz/md5.jsp


传了webshell
可以直接执行命令进服务器啦

4295CE7D-55FB-43FA-9B56-5867E387F668.png


A2BC6F59-96DB-4926-896F-AB37824438EA.png

漏洞证明:

ACFA0506-5C63-47D6-8A3A-F95BE3ADD9FB.png


314E2F0F-6FD3-4ED6-AAB5-0436B2AF8E8B.png


确实是联通的
通过查看3389的端口发现改为了63389,且连接进去提示终端用户过多,登不进去。
有个小技巧,远程连接服务时加个console即可绕过
**.**.**.**:63389/console

06549D7C-E8D0-4CA5-AF51-76B4326B334C.png


一般说windows找敏感信息的最好的方法就是去管理桌面。
然后找到了这个

F572EDB7-D16B-4071-9833-C2E27C6205A1.png

一堆内网的账户密码还有服务器的登录账户密码。

716D14D1-F63D-4509-8B8E-70DCB8114C33.png


作者还在写php嗯,感觉有注入的样子

if ($action=="shen"){
$id=$_GET["id"];
$sql1="update wo_tuan set shen=1 where id='$id'";
$query1=@mysql_query( $sql1 ) or die("SQL语句执行错误!");
echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}
if ($action=="noshen"){
$id=$_GET["id"];
$sql2="update wo_tuan set shen=0 where id='$id'";
$query2=@mysql_query( $sql2 ) or die("SQL语句执行错误!");
echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}
if ($action=="tj"){
$id=$_GET["id"];
$sql1="update wo_tuan set tuijian=1 where id='$id'";
$query1=@mysql_query( $sql1 ) or die("SQL语句执行错误!");
echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}
if ($action=="notj"){
$id=$_GET["id"];
$sql2="update wo_tuan set tuijian=0 where id='$id'";
$query2=@mysql_query( $sql2 ) or die("SQL语句执行错误!");
echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}
if($action=="del"){
$id=$_GET["id"];
$sql="select * from wo_tuan where id='$id'";
$query=mysql_query($sql) or die("SQl语句出错!!");
if(!$rs=mysql_fetch_array($query)){
echo "<SCRIPT LANGUAGE=JavaScript>alert ('您查看的信息不存在!^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}else{
$sql="delete from wo_tuan where id='$id'";
$query=mysql_query($sql) or die("SQl语句出错!!");
echo "<SCRIPT LANGUAGE=JavaScript>alert ('删除成功!^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
}
}?>


24行,自行检查吧。。

mask 区域
*****smtp.host*****
*****me=zjn*****
*****glec@**.*****
*****32100&lt*****


mask 区域
*****^^管理地址	网站帐号	^*****
****** **.**.**.**/kns50um cnki cnki 2*****
***** *****
*****70721@cqjky 图书^*****
*****dmin/admin_login.asp alan specte*****
*****angbo#cqj*****
*****网 **.**.**.**(www.**.**.**.**) www.**.*****
******.**.**/ess2.0/login.asp admini*****
*****dmin_login.asp alan specte*****
*****angbo#cqj*****
*****/admin/admin_login.asp a*****
*******.**/cqyx/admin_login.asp ala*****
*****jky_xxzx liq*****
*****zx **.**.**.** yb 136094*****
*****.**.**/admin/admin_lo*****
***** *****
***** *****
*****^号:杨博/63602448 **.**.**.**/o*****
*****.**) **.**.**.**/cqyx/admin_login.asp alan specter#crowxp_007 **.******
*****jky_xxzx liq*****
*****//**.**.**.**/admin/Admin_login.asp y*****
*****min_login.asp ya*****
******.**/admin/admin_login*****
***** *****
*******.**.**) **.**.**.**/cqyx/admin_login.asp *****
*****x/admin_login.asp crowxp sp*****
*****xxzx yangbo ya*****
*****blog/cqyx/admin_login.*****
******) **.**.**.**/cqyx/admin_login.asp yb c*****
*****qyx/admin_login.asp 杨^*****
*****.**.**.**/cqxt/manage/login.asp*****
*****83 ser-u^*****
*****nistrato*****


<alias>CommProxool</alias>
<driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<driver-properties>
<property name="user" value="zscomm_db2"/>
<property name="password" value="zsjlcomm_188db"/>
</driver-properties>
<maximum-connection-count>70</maximum-connection-count>
<simultaneous-build-throttle>20</simultaneous-build-throttle>
<house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
</proxool>

<proxool>
<alias>LocalProxoolHZ</alias>
<driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<driver-properties>
<property name="user" value="u_zshz_db"/>
<property name="password" value="zsjl_188hzdb"/>
</driver-properties>
<maximum-connection-count>100</maximum-connection-count>
<simultaneous-build-throttle>20</simultaneous-build-throttle>
<house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
</proxool>
<proxool>
<alias>LocalProxool</alias>
<driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<driver-properties>
<property name="user" value="u_ltllyy_db"/>
<property name="password" value="u_ltllyy_db"/>
</driver-properties>
<maximum-connection-count>100</maximum-connection-count>
<house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
</proxool>


修复方案:

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-26 09:45

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-22 16:20 | Dotaer ( 路人 | Rank:24 漏洞数:8 | 多学习,多挖洞!)

    大牛是不是有神器啊?求分享