亚信科技某系统任意用户注册登录导致命令执行/涉及多个内网数据库连接信息/可探测260+内网主机

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0209443

漏洞标题：亚信科技某系统任意用户注册登录导致命令执行/涉及多个内网数据库连接信息/可探测260+内网主机

漏洞作者：路人甲

提交时间：2016-05-18 14:16

修复时间：2016-07-02 15:20

公开时间：2016-07-02 15:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-05-18：细节已通知厂商并且等待厂商处理中
2016-05-18：厂商已经确认，细节仅向厂商公开
2016-05-28：细节向核心白帽子及相关领域专家公开
2016-06-07：细节向普通白帽子公开
2016-06-17：细节向实习白帽子公开
2016-07-02：细节向公众公开

简要描述：

详细说明：

mask 区域

1.http://**.**.**/

jenkins 随便注册一个用户
这里我注册的是522 密码522 登录之后就有了系统管理选项

随便丢几个用户证明是亚信的系统

mask 区域

1.http://**.**.**/user/liuhy6/configure_
**********
*****iainf*****

mask 区域

1.http://**.**.**/user/guohong/configure_
**********
*****siain*****

随便丢几个内网的数据库配置
http://117.121.97.3:9080/view/dmp/job/dmp-console/ws/target/classes/application.properties/*view*/

osfc.i18n.baseName=classpath:insite
osfc.i18n.defaultEncoding=utf-8


mask 区域

*****p_console?useUnicode=tru*****
*****rname=dmp*****
*****assword=*****
*****/dmp_console?useUnicode=t*****
*****username=d*****
*****d.passwor*****
*****dmp_console?useUnicode=tr*****
*****p.userna*****
*****dsp.pas*****









mask 区域

*****/dmp_console_test?useUnicod*****
*****onsole_test?useUnicode=tr*****
*****ername=d*****
*****ssword=c*****
*****p_console_test?useUnicode=*****
*****.username*****
*****.password*****
*****p_console_test?useUnicode*****
*****sername=d*****
*****assword=c*****
**********
*****3306/dsp?useUnicode=tru*****
*****xid.user*****
*****d.passwor*****









mask 区域

*****ame:dmp_co*****
*****assword:*****
**********
*****Name:net.sf.l*****
**********
*****sName=com.my*****
**********
*****:org.hibernate.*****
*****maxActi*****
*****l.maxI*****
*****initial*****
*****stOnBorr*****
*****dationQue*****
*****toReconn*****
*****ibernate.diale*****
**********
*****ssName=com.my*****
*****sp.maxA*****
*****sp.maxI*****
*****.initial*****
*****.testOnB*****
*****idationQue*****
*****utoReconn*****
*****g.hibernate.di*****
*****sp.pool*****
*****.maxPool*****
**********
*****/115.28.220.15*****
*****.apache.hadoop.h*****
*****se=dmp*****
*****_dsp=dm*****
**********
*****ate.ddl-a*****
*****ow-sql:*****
*****lineDataDao._s*****
**********
*****ath=/dmp*****
*****port*****









mask 区域

*****onsolesrcmain\reso*****
**********
*****.ip=10.1*****
*****er.port*****
*****ername=efd*****
*****password=*****
*****etry.m*****
*****xp.def*****
**********
*****.0.0.1:8081*****
*****7.0.0.1:808*****
**********
*****://localhost:*****
**********
*****y_tim*****
**********
*****le:8085/monitor/mai*****
**********
*****xcute_*****
**********
*****653e\u8ba2\*****
*****er.i*****
*****f6\u95f4\uff08\*****
*****er.e*****
**********
*****://10.1.253.1*****
*****userna*****
*****passwo*****
**********
*****//10.1.253.123*****
*****.usern*****
*****.passw*****
**********
*****e_time*****
*****login,login.*****
*****:/log*****









mask 区域

*****isPrope*****
*****10.1.2*****
*****ort=*****
*****assw*****
*****58\u8bb*****
*****ry.ma*****
*****ault = *****
*****009\u62e9 me*****
***** = mem*****
**********
*****e = r*****
***** 10.1.252*****
*****= 10.1.2*****
*****ire =*****
**********
*****bas*****
*****pache.phoenix.j*****
*****phoenix:d*****
**********
*****ob a*****
*****y = mi*****
*****69782d64*****
**********
**********
*****hos*****
*****27.0.*****
*****=oem*****
**********
*****t = 0*****
*****= http*****
**********
*****lassName=com.*****
*****id.maxAc*****
*****ixid.ma*****
*****id.initi*****
*****.testOnBo*****
*****alidationQ*****
*****.autoReco*****
*****g.hibernate.dia*****
*****ixid.po*****
*****id.maxPo*****
**********
**********
***** mail.asi*****
*****P_POR*****
*****hanxq@asi*****
*****ORD = *****
*****hanxq@asi*****
**********
*****e =*****
*****wel_pa*****
*****_page*****
**********
*****://10.1.50*****
**********
*****jinxing6@*****





#指标监控数据文件入mysql数据库



mask 区域

*****vice.int*****
*****nDir = /work*****
*****pDir = /works*****
**********
*****s =10.1.*****
*****=10.1.3.*****
*****is=10.1.*****
**********
*****=10.1.3.*****
***** =10.1.3*****
*****10.1.3.1*****
*****s=127.0.*****
*****5:6389,10.1.3.125:6399,1*****
*****7.0.0.1:6379*****
*****is.maxI*****
*****is.time*****
*****.testOnB*****
**********
*****ath = /works*****
**********
*****10.1.3.200:8090*****
*****//10.1.3.200:80*****
*****/10.1.51.58:809*****
**********
*****me  =*****
**********
*****ID#&keytype=#KEYTYPE#&province=#PROVINCE#&ctype=#CTYPE#&*****
*****32f297a57a5a743894a0e4a801fc3&key=#QUERYID#&*****
*****ince=#PROVINCE#&ctype=#CTYPE#&filter={"typeids":["0","1&q*****
*****32f297a57a5a743894a0e4a801fc3&key=#QUERYID#&a*****
*****face.proxy=1*****









mask 区域

*****E0000,E0001,E0002,E0003,E0004,E*****





#reqreslistener=下警戒值,上警戒值,发送邮件是否需要身份验证,服务器,发送邮箱,密码（若不需要则为0）,收件人（可以为多个）



mask 区域

*****[email protected],[email protected],wuc*****
*****2.19,message@mixdat*****





#MemListener警戒值设定，发送邮件是否需要身份验证,服务器,发送邮箱,密码（若不需要则为0）,收件人



mask 区域

*****2.19,message@mixdata.*****
**********
*****il=jinxing*****

上面这只是一个项目源码的
服务器上有这么一堆

在来几个命令执行
ifconfig -a

ens160: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.1.3.9  netmask 255.255.255.0  broadcast 10.1.3.255
        ether 00:50:56:a9:79:e4  txqueuelen 1000  (Ethernet)
        RX packets 48845843  bytes 3254589633 (3.0 GiB)
        RX errors 0  dropped 10789  overruns 0  frame 0
        TX packets 40543252  bytes 32125871005 (29.9 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
ens192: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 117.121.97.3  netmask 255.255.255.224  broadcast 117.121.97.31
        ether 00:50:56:a9:13:64  txqueuelen 1000  (Ethernet)
        RX packets 33417041  bytes 5465684323 (5.0 GiB)
        RX errors 0  dropped 3786  overruns 0  frame 0
        TX packets 19309215  bytes 14972938105 (13.9 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        loop  txqueuelen 0  (Local Loopback)
        RX packets 10302477  bytes 28435532840 (26.4 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 10302477  bytes 28435532840 (26.4 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

看看这个内网有多大

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6


mask 区域

*****sqlSer*****
*****sqlSer*****
*****FtpSe*****
*****6	Re*****
*****stemMo*****
*****BigDa*****
*****9	Bu*****
*****ystemM*****
*****ysqlSe*****
*****13	P*****
*****21	N*****
*****22	N*****
*****23	N*****
*****24	N*****
*****25	N*****
*****26	N*****
*****27	N*****
*****28	N*****
*****29	N*****
*****30	N*****
*****31	N*****
*****32	N*****
*****33	N*****
*****34	N*****
*****35	N*****
***** 	Ngi*****
*****37	N*****
*****2	Ngi*****
*****3	Ngi*****
*****51	L*****
*****spCons*****
*****spCons*****
*****	Push*****
*****icServ*****
*****icServ*****
*****mpCons*****
*****mpCons*****
*****	Moni*****
*****	Craw*****
*****70	L*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****   BidS*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****idServ*****
*****91	A*****
*****lgoMon*****
*****	Algo*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ClickS*****
*****ClickS*****
*****ClickS*****
*****   Clic*****
*****okieMap*****
*****okieMap*****
*****okieMap*****
***** CookieM*****
***** CookieM*****
***** CookieM*****
**********
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****DmpPro*****
*****2	Dmp*****
*****3	Red*****
*****4	Red*****
*****5	Red*****
*****6	Red*****
*****7	Red*****
*****2	Red*****
*****06	Re*****
*****7	Red*****
*****8	Red*****
*****3	Dmp*****
*****4	Red*****
*****   DmpP*****
*****8	Dmp*****
*****9	Dmp*****
*****0	Dmp*****
*****211	*****
*****212	*****
*****DspMan*****
*****Operat*****
*****DmpCon*****
*****5	Dmp*****
*****6	Red*****
*****Monito*****
*****DspCon*****
*****PushSe*****
*****FtpSer*****
*****FtpSer*****
*****4	Cen*****
*****   tr*****
*****   tr*****
***** mixna*****
***** mixna*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
*****0  mi*****
**********
**********
**********
*****sqlser*****
*****sqlser*****
*****ftpse*****
*****6	re*****
*****stemmo*****
*****bigda*****
*****9	bu*****
*****ystemm*****
*****ysqlse*****
*****21	n*****
*****22	n*****
*****23	n*****
*****24	n*****
*****25	n*****
*****26	n*****
*****27	n*****
*****28	n*****
*****29	n*****
*****30	n*****
*****31	n*****
*****32	n*****
*****33	n*****
*****34	n*****
*****35	n*****
*****36	n*****
*****     n*****
*****     n*****
*****     n*****
*****51	l*****
*****spcons*****
*****spcons*****
*****	push*****
*****icserv*****
*****icserv*****
*****mpcons*****
*****mpcons*****
*****	moni*****
*****	craw*****
*****70	l*****
*****idserv*****
*****idserv*****
*****idserv*****
*****idserv*****
*****idserv*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****91	a*****
*****lgomon*****
*****	algo*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****clicks*****
*****clicks*****
*****clicks*****
*****clicks*****
*****okiemap*****
*****okiemap*****
*****okiemap*****
***** cookiem*****
***** cookiem*****
***** cookiem*****
**********
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****dmppro*****
*****2	dmp*****
*****3	red*****
*****4	red*****
*****5	red*****
*****6	red*****
*****7	red*****
*****2	red*****
*****     D*****
*****     r*****
*****dmppro*****
*****     r*****
*****8	red*****
*****8	dmp*****
*****9	dmp*****
*****0	dmp*****
*****211	*****
*****212	*****
*****dspman*****
*****operat*****
*****dmpcon*****
*****5	dmp*****
*****6	red*****
*****monito*****
*****dspcon*****
*****pushse*****
*****ftpser*****
*****ftpser*****
*****4	cen*****
*****   tr*****
*****   tr*****
***** mixna*****
***** mixna*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
**********
***** craw*****
***** craw*****
***** craw*****
***** craw*****
***** craw*****

</mask>

漏洞证明：

mask 区域

*****:/root:/*****
*****bin:/sbi*****
*****:/sbin:/sb*****
*****r/adm:/sb*****
*****ool/lpd:/s*****
*****:/sbin:/*****
*****wn:/sbin:/s*****
*****:/sbin:/*****
*****/spool/mail*****
*****tor:/root:/*****
*****/usr/games:*****
*****/var/ftp:/s*****
*****body:/:/s*****
*****sage bus:/:/*****
*****for polkitd:*****
*****ck:/var/run/avahi-*****
*****Stack:/var/lib/avah*****
***** for libstoragemgmt:*****
*****c/abrt:/sb*****
*****d SSH:/var/empty*****
*****pool/postfix*****
*****/ntp:/sbi*****
*****lib/chrony:/*****
*****::/:/sbi*****
*****ata1/user/je*****
*****ata1/user/n*****
*****ta1/user/ocha*****
*****user/jenkins/rel*****
*****home/zabbix*****

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6


mask 区域

*****sqlSer*****
*****sqlSer*****
*****FtpSe*****
*****6	Re*****
*****stemMo*****
*****BigDa*****
*****9	Bu*****
*****ystemM*****
*****ysqlSe*****
*****13	P*****
*****21	N*****
*****22	N*****
*****23	N*****
*****24	N*****
*****25	N*****
*****26	N*****
*****27	N*****
*****28	N*****
*****29	N*****
*****30	N*****
*****31	N*****
*****32	N*****
*****33	N*****
*****34	N*****
*****35	N*****
***** 	Ngi*****
*****37	N*****
*****2	Ngi*****
*****3	Ngi*****
*****51	L*****
*****spCons*****
*****spCons*****
*****	Push*****
*****icServ*****
*****icServ*****
*****mpCons*****
*****mpCons*****
*****	Moni*****
*****	Craw*****
*****70	L*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****   BidS*****
*****idServ*****
*****idServ*****
*****idServ*****
*****idServ*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****   BidS*****
*****idServ*****
*****91	A*****
*****lgoMon*****
*****	Algo*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ViewSe*****
*****ClickS*****
*****ClickS*****
*****ClickS*****
*****   Clic*****
*****okieMap*****
*****okieMap*****
*****okieMap*****
***** CookieM*****
***** CookieM*****
***** CookieM*****
**********
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****AdServ*****
*****DmpPro*****
*****2	Dmp*****
*****3	Red*****
*****4	Red*****
*****5	Red*****
*****6	Red*****
*****7	Red*****
*****2	Red*****
*****06	Re*****
*****7	Red*****
*****8	Red*****
*****3	Dmp*****
*****4	Red*****
*****   DmpP*****
*****8	Dmp*****
*****9	Dmp*****
*****0	Dmp*****
*****211	*****
*****212	*****
*****DspMan*****
*****Operat*****
*****DmpCon*****
*****5	Dmp*****
*****6	Red*****
*****Monito*****
*****DspCon*****
*****PushSe*****
*****FtpSer*****
*****FtpSer*****
*****4	Cen*****
*****   tr*****
*****   tr*****
***** mixna*****
***** mixna*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
*****0  mi*****
**********
**********
**********
*****sqlser*****
*****sqlser*****
*****ftpse*****
*****6	re*****
*****stemmo*****
*****bigda*****
*****9	bu*****
*****ystemm*****
*****ysqlse*****
*****21	n*****
*****22	n*****
*****23	n*****
*****24	n*****
*****25	n*****
*****26	n*****
*****27	n*****
*****28	n*****
*****29	n*****
*****30	n*****
*****31	n*****
*****32	n*****
*****33	n*****
*****34	n*****
*****35	n*****
*****36	n*****
*****     n*****
*****     n*****
*****     n*****
*****51	l*****
*****spcons*****
*****spcons*****
*****	push*****
*****icserv*****
*****icserv*****
*****mpcons*****
*****mpcons*****
*****	moni*****
*****	craw*****
*****70	l*****
*****idserv*****
*****idserv*****
*****idserv*****
*****idserv*****
*****idserv*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****   bids*****
*****91	a*****
*****lgomon*****
*****	algo*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****viewse*****
*****clicks*****
*****clicks*****
*****clicks*****
*****clicks*****
*****okiemap*****
*****okiemap*****
*****okiemap*****
***** cookiem*****
***** cookiem*****
***** cookiem*****
**********
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****adserv*****
*****dmppro*****
*****2	dmp*****
*****3	red*****
*****4	red*****
*****5	red*****
*****6	red*****
*****7	red*****
*****2	red*****
*****     D*****
*****     r*****
*****dmppro*****
*****     r*****
*****8	red*****
*****8	dmp*****
*****9	dmp*****
*****0	dmp*****
*****211	*****
*****212	*****
*****dspman*****
*****operat*****
*****dmpcon*****
*****5	dmp*****
*****6	red*****
*****monito*****
*****dspcon*****
*****pushse*****
*****ftpser*****
*****ftpser*****
*****4	cen*****
*****   tr*****
*****   tr*****
***** mixna*****
***** mixna*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
***** mixda*****
**********
***** craw*****
***** craw*****
***** craw*****
***** craw*****
***** craw*****

修复方案：

任意用户注册

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2016-05-18 15:12

厂商回复：

jenkins是以root帐户启动的，并且jenkins可以执行shell命令．造成此漏洞原因主要是因为工作人员流动，以致没有专门维护人员所致．现已半闭该外网ip．

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0209443

漏洞标题：亚信科技某系统任意用户注册登录导致命令执行/涉及多个内网数据库连接信息/可探测260+内网主机

相关厂商：北京亚信品联信息技术有限公司

漏洞作者：路人甲

提交时间：2016-05-18 14:16

修复时间：2016-07-02 15:20

公开时间：2016-07-02 15:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0209443

漏洞标题：亚信科技某系统任意用户注册登录导致命令执行/涉及多个内网数据库连接信息/可探测260+内网主机

相关厂商：北京亚信品联信息技术有限公司

漏洞作者： 路人甲

提交时间：2016-05-18 14:16

修复时间：2016-07-02 15:20

公开时间：2016-07-02 15:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0209443"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云