漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0121298
漏洞标题:中国联通某省分公司综合运维系统沦陷(涉及联通全省员工信息+大量企业订单信息+无法言尽的内部信息)已Getshell
相关厂商:中国联通
漏洞作者: 几何黑店
提交时间:2015-06-18 09:22
修复时间:2015-08-07 08:42
公开时间:2015-08-07 08:42
漏洞类型:敏感信息泄露
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-23: 厂商已经确认,细节仅向厂商公开
2015-07-03: 细节向核心白帽子及相关领域专家公开
2015-07-13: 细节向普通白帽子公开
2015-07-23: 细节向实习白帽子公开
2015-08-07: 细节向公众公开
简要描述:
目录遍历越权+JBOSS 代码执行+tomcat中间件弱口令+用户弱口令+未授权访问+获取所有用户密码
应该是记全了,也有可能没记全的
详细说明:
首先,通过搜索引擎搜索到http://61.241.82.144/这个IP,看这个系统的名字就觉得高大上.
于是开启nmap扫一下端口,发现381这个端口是jboss的,那么利用jboss的getshell方法来拿个shell,乌云随便一搜就大把的案例, 由于篇幅有限,这里就不赘述了.
拿到http://61.241.82.144:381/upload5warn/index_bak.jsp
可以看到在内网,应该是内网有多台服务器,映射了端口出来.还是ROOT权限
翻了很久,也只翻到一些数据库信息,试了很久,也没连上.
这里先不管他了,我们来看其他的HTTP端口.
http://61.241.82.144:2585/
tomcat中间件弱口令
admin/admin
那就再传个SHELL上去吧,看看这个端口是哪台内网机器
是台WINDOWS的系统
翻了很久,也是没发现可深入利用的,再次放弃.
回到运维系统的登录界面,试了SQL注入,也没跑出来,
就随便手工试了几个默认的管理员密码,可是都不成功,但其中有一次密码错误回退登陆框的时候出现了系统内部的界面,很奇怪,多试了几次以后,发现能够把页面停止,不让它跳转回登录界面,但这时已经看到系统长什么样子也是一种安慰吧,习惯性看了一下框架源代码.发现有个文件地址可以直接访问.
是个公告的页面,而且附件还可以下载
下个运维系统说明文档看看,说不定能有些默认的用户名密码之类的.
果然,有张图里有几个用户名,这下终于知道管理员长什么样子了.
试了几个用户弱口令都不对,最后抱着试最后一个,不对,就算了.
谁知道,还真猜中了.
zhugejing/zhugejing123
功夫不负有心人啊,终于是进来了
漏洞证明:
虽然涉及到非常多的信息了,但是总觉的少了点,因为这个账户的权限比较低,还有很多看不了,看来只有拿到系统管理员权限的账号才行了.
继续找了1个小时,发现了目录遍历
试了几个文件,都是可以未授权访问,直接可以访问页面的内容.
http://61.241.82.144:2181/WebApp/emoss/files/account/ifAAUserApplyGrid.jsp
找到用户管理的页面,这个应该是管理员权限才可以访问的.但有个问题是不登录任何用户的情况下,只能看到
这个页面,并不能编辑用户,提示没有登录.
那我们就去登录一下前面获得的用户
从源代码里,可以直接查看到用户的密码
试了几个账户,都能正常登录系统,系统管理员账户终于进来了.
8000多员工信息,人事管理资料,大客户资料,大客户订单合同信息,终于是全部弄完了,好累,从下午一直到凌晨4点才全部弄完,光写这个报告,就写了2个多小时.
修复方案:
你懂的
版权声明:转载请注明来源 几何黑店@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-06-23 08:40
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协助网站管理单位处置.
最新状态:
暂无