WooYun.org

1.中国铁通运维作业管理系统（陕西分公司）

2.发现上面开放了8080端口，并且部署的是jboos web应用

版本为2.1.3GA的，有好多漏洞依次试试

信息泄漏，状态信息：

admin-console给删掉了：

jmx-console也给删掉了：

web-console没有删除，竟然没有认证，试试这个部署war包：

利用inovker获取系统信息：

但是利用MainDeployer方式部署本地WAR包失败了。
发现默认是存在invoker/JMXInvokerServlet，这个漏洞我就详细的解释了，可以参考：http://drops.wooyun.org/papers/178

部署小马：

访问测试，部署成功：

部署一句话：

一句话访问ok：

菜刀连接：

权限是root，哇！！！！

root权限，想干啥干啥吧，这里上传一个大马：

大马上传ok：

ip信息：

配置文件passwd和shadow文件：

root权限了，保障系统不会出现啥问题，这里也没必要安装rootkit了，浏览一下本地数据就行，当然了也发现了好多陕西铁通公司运维中全省大量的信息，涉及合同、工程安排启动、用户信息等，如下：
业务信息：

2015汉中分公司语音设备整合计划（4月推进计划）：

工期安排：

项目建议书：

这里举例汉中市部分的铁通用户信息：

宝鸡4月相关信息统计：

工程设计：

其他的就不一一列举了，都涉及运维相关信息。

可能已经有人来过系统了，希望管理员阅读分析一下系统相关安全日志，我这里随便看了一下lastlog，发现是成都电信的IP在5月13号上午的10:47:46登录系统了，管理员确认一下是否是允许登录的IP地址，如果不是系统应该已经被人入侵了。

问题确实存在，赶紧修复吧，这里我没安装其他后门，临走删马，走人。