当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081741

漏洞标题:说好的机锋网getshell来了(再次影响机锋网主要业务)

相关厂商:机锋网

漏洞作者: 鸟云厂商

提交时间:2014-11-02 16:39

修复时间:2014-12-17 16:40

公开时间:2014-12-17 16:40

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-11-02: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-17: 细节向公众公开

简要描述:

我的滑板鞋时尚时尚最时尚

详细说明:

#1 漏洞成因
捕捉到如下网址存在struts2命令执行漏洞,且可以成功利用
http://v5op.apk.gfan.com/index.action
WEB目录
/home/tomcat8088/webapps/ROOT/
直接GETSHELL,ROOT权限

屏幕快照 2014-11-02 下午3.56.43.png


网站物理路径: /home/tomcat8088/webapps/ROOT/
java.home: /usr/lib/jvm/java-6-sun-1.6.0.26/jre
java.version: 1.6.0_26
os.name: Linux
os.arch: amd64
os.version: 2.6.35-22-server
user.name: root
user.home: /root
user.dir: /home/tomcat8088
java.class.version: 50.0
java.class.path: /home/tomcat8088/bin/bootstrap.jar
java.library.path: /usr/lib/jvm/java-6-sun-1.6.0.26/jre/lib/amd64/server:/usr/lib/jvm/java-6-sun-1.6.0.26/jre/lib/amd64:/usr/lib/jvm/java-6-sun-1.6.0.26/jre/../lib/amd64:/usr/java/packages/lib/amd64:/usr/lib64:/lib64:/lib:/usr/lib
file.separator: /
path.separator: :
java.vendor: Sun Microsystems Inc.
java.vendor.url: http://java.sun.com/
java.vm.specification.version: 1.0
java.vm.specification.vendor: Sun Microsystems Inc.
java.vm.specification.name: Java Virtual Machine Specification
java.vm.version: 20.1-b02
java.vm.name: Java HotSpot(TM) 64-Bit Server VM
java.specification.version: 1.6
java.specification.name: Java Platform API Specification
java.io.tmpdir: /home/tomcat8088/temp


读取/root/下的mysql_history

CHANGE MASTER TO MASTER_HOST='10.*.*.163', MASTER_USER='r**l', MASTER_PASSWORD='A*****h', MASTER_LOG_FILE='mysql-bin.000672', MASTER_LOG_POS=536449400;
start slave;


读取.bash_history

scp w*****g@10.*.*.169:/home/weitong/software/replace.jar .


/backup/目录下有整个运营后台的源代码备份

屏幕快照 2014-11-02 下午4.03.56.png


配置文件里找到cookie的加密方式和密钥

// Referenced classes of package com.gfan.appmarket.util:
// AES
public class CookieUtil
{
public static final String COOKIE_NAME = "admin_passport";
public static final String COOKIE_AES_KEY = "L9FMH******1jQv";
public CookieUtil()
{
}


之前的数据库泄露漏洞,粗略看过一部分admin_user表。后台密码应该是加密存储在数据库中的。怎么进后台呢?
在对后台的测试中,我找到一个密码为123456的用户。但是只能登录,没有任何权限。
看了看工具提供的history,当中有一个跳转是从index.jsp到index.action。
就冲index.jsp下手,插入XSS代码。(所有登录用户在通过登录验证后必然通过这个页面跳转到后台)
cookie很快到手

屏幕快照 2014-11-02 下午4.10.19.png


进入后台

屏幕快照 2014-11-02 下午3.53.04.png


影响机锋网运营主要业务,谁的APP想被推荐请打我电话12345678901。
服务器信息:

Linux ubuntu181 2.6.35-22-server #33-Ubuntu SMP Sun Sep 19 20:48:58 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux


Distributor ID:	Ubuntu
Description: Ubuntu 12.04.4 LTS
Release: 12.04
Codename: precise


厂商请注意,这台服务器还存在bash漏洞。

[/home/tomcat8088/webapps/ROOT/]$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
vulnerable
this is a test


鉴于是root权限,提权---内网渗透---更多机器沦陷。对Linux提权还没那么熟练,测试到此为止。

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-11-02 19:17

厂商回复:

谢谢提交,修复中。。

最新状态:

暂无