漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0109655
漏洞标题:五矿集团某站点jboss漏洞可内网渗透
相关厂商:五矿集团
漏洞作者: cleanmgr
提交时间:2015-04-22 13:43
修复时间:2015-06-08 17:58
公开时间:2015-06-08 17:58
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-04-22: 细节已通知厂商并且等待厂商处理中
2015-04-24: 厂商已经确认,细节仅向厂商公开
2015-05-04: 细节向核心白帽子及相关领域专家公开
2015-05-14: 细节向普通白帽子公开
2015-05-24: 细节向实习白帽子公开
2015-06-08: 细节向公众公开
简要描述:
五矿集团某站点jboss漏洞可内网渗透,据说五矿的洞都忽略了,但还是提交吧...
详细说明:
站点:http://202.96.11.45
上面部署有五矿有色铜业务运营系统、金网后台管理系统、五矿有色铜内贸业务系统。
发现有jboss
http://202.96.11.45/jmx-console/
发现已被人光顾过了..
http://202.96.11.45/DonGz/index.jsp
找到数据库连接密码等,对外未开放1433端口,转发后连接,多个数据库:
通过获取的数据登陆部分站点等等...
http://202.96.11.48/SmartLearning/
http://202.96.11.46/KinmetFutures/login.jsp
然后就是进内网
发现是nt authority\system权限,本打算通过reg save hklm\system c:\system.hive等读取注册表破解获得密码进去,未成功。
只能自建admin$账户了,转发3389端口
通过内网渗透发现
10.1.32.1/24
10.2.11.1/24
10.255.1.45/24等网段
域控服务器为10.1.32.1和10.1.32.2主机
同时共用口令一堆:
zhangj zh*ng*2w8j
sunp su*p5*9m
zhaojk zha*j*2*8p
patrol p*t*ol
Administrator P**sw*rd
liujy 9*****9
Administrator 89****nv*a8et
Administrator m*n*e*a*s
等等部分截图如下:
10.255.1.42
10.255.1.14
10.1.32段的
其中几台主机截图:
通过抓包又能获取到一批密码:
最后在10.1.32.45的缓存中抓到域账户的密码:
破解未成功,其实可以通过wce工具直接提交密文登陆,但未尝试。
漏洞证明:
另送202.96.11.65心脏出血一个
利用jmx-console获取敏感信息:
1、jboss家目录路径:jboss.system type=ServerConfig
2、查询部署的应用:flavor=URL,type=DeploymentScanner找到java.lang.String listDeployedURLs(),点击Invoke
3、列出部署的应用信息:service=MainDeployer找到java.util.Collection listDeployed(),点击Invoke
4、关闭jboss找到jboss.system type=Server 找到void shutdown(),点击Invoke(未尝试)
5、读取任意文件name=SystemProperties,type=Service找到List of MBean attributes,在URLList中填入文件的相对路径,点击Apply 如果文件路径不正确或不存在,将出现500错误。找到java.util.Map showAll(),点击Invoke在返回页面中可以查看到目标文件内容:
6、通过DeploymentScanner、BSH(Bean Shell)Deployment、直接写入shell等方式写入木马。
7、有密码jmx-console等通过RMI远程方法调用、JMXInvoker、Jmx Console控制台HTTP认证绕过、invoker/JMXInvokerServlet或invoker/EJBInvokerServlet、Jboss远程代码执行漏洞CVE 2013-4810等方式部署木马。
修复方案:
建议一:删除$JBOSS_HOME/[server]/all/deploy和$JBOSS_HOME/[server]/default/deploy下的Jmx-console.war、Web-console.war文件卸载控制台。或者去掉“jmx-console-web.xml”里的<http-method>GET</http-method> 和<http-method>POST</http-method>, 这样就能使所有HTTP类型的请求都要登录才能成功。
建议二:给jmx-console和web-console都加上密码。在 ${jboss.server.home.dir}/deploy下面找到jmx-console.war目录编辑WEB-INF/web.xml文件,去掉 security-constraint 块的注释,使其起作用。
建议三:编辑WEB-INF/jboss-web.xml去掉 security-domain 块的注释,security-domain值的映射文件为 login-config.xml (该文件定义了登录授权方式);或者直接删除 $JBOSS_HOME/[server]/all/deploy 和$JBOSS_HOME/[server]/default/deploy下的Jmx-console.war 、Web-console.war这两个.War文件来禁止对jmx-console和web-console的访问,再访问jmx-console或者 web-console时就返回404了。
建议四: 删除 server/default/deploy/http-invoker.sar 这个包
建议五:梳理并加强内网防火墙ACL,最好限制到端口级。
建议六:口令共用及弱口令问题等....
版权声明:转载请注明来源 cleanmgr@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2015-04-24 17:56
厂商回复:
CNVD未复现所述情况,已经转由CNCERT向能源行业信息化主管部门通报,由其后续协调网站管理单位处置.
最新状态:
暂无