当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144098

漏洞标题:深圳公交卡系统一日游

相关厂商:shenzhentong.com

漏洞作者: 路人甲

提交时间:2015-09-29 17:20

修复时间:2015-11-22 10:20

公开时间:2015-11-22 10:20

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-29: 细节已通知厂商并且等待厂商处理中
2015-10-08: 厂商已经确认,细节仅向厂商公开
2015-10-18: 细节向核心白帽子及相关领域专家公开
2015-10-28: 细节向普通白帽子公开
2015-11-07: 细节向实习白帽子公开
2015-11-22: 细节向公众公开

简要描述:

从web到内网,威胁内网安全和用户数据。

详细说明:

**.**.**.**
进入官网首页,点公交卡余额查询跳转到
http://**.**.**.**:8080/sztnet/qryCard.do 这是我们的切入点
2.http://**.**.**.**:8080/mbapp/upload.jsp
文件上传点,没有回显文件路径怎么办
http://**.**.**.**:8080/mbapp/file.jsp

d.png


shell路径来了
shell地址

http://**.**.**.**:8080/mbapp/upload/1_1443170412936_0.jsp    cmd


3.数据库配置文件

<transactionManager type="JDBC">
		<dataSource type="SIMPLE">
			<property name="JDBC.Driver" value="oracle.jdbc.driver.OracleDriver" />
			<property name="JDBC.ConnectionURL" value="jdbc:oracle:thin:@**.**.**.**:1521:sztweb" />
			<!-- <property name="JDBC.ConnectionURL" value="jdbc:oracle:thin:@**.**.**.**:1521:orcl" />  -->
			<property name="JDBC.Username" value="sztweb" />
			<property name="JDBC.Password" value="szt88web" />
			<property name="Pool.MaximumActiveConnections" value="30" />
			<property name="Pool.MaximumIdleConnections" value="10" />
			<property name="Pool.MaximumCheckoutTime" value="30000" />
			<property name="Pool.TimeToWait" value="500" />
			<property name="Pool.PingQuery" value="select 1 from sample" />
			<property name="Pool.PingEnabled" value="false" />
			<property name="Pool.PingConnectionsOlderThan" value="1" />
			<property name="Pool.PingConnectionsNotUsedFor" value="1" />
		</dataSource>
	</transactionManager>


4.海量数据
可以看到用户每一次刷卡的记录,用户信息,公交,地铁相关信息等等

k.png


2.png


1.png


5.反弹shell,提权
linux内核2.6.18,直接上EXP提权成功

if.png


tq.png


shadow.png


root弱密码,破解出来为root1234
6.危及内网安全,用自带nmap简单扫了一下

Interesting ports on **.**.**.**:
Not shown: 1673 closed ports
PORT     STATE SERVICE       VERSION
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn
445/tcp  open  netbios-ssn
3389/tcp open  microsoft-rdp Microsoft Terminal Service
5800/tcp open  vnc-http      RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open  vnc           VNC (protocol 3.8)
8080/tcp open  http          Microsoft IIS webserver 7.0


Interesting ports on **.**.**.**:
Not shown: 1669 closed ports
PORT     STATE    SERVICE     VERSION
21/tcp   open     ftp         vsftpd 2.0.5
22/tcp   open     ssh         OpenSSH 4.3 (protocol 2.0)
23/tcp   open     telnet      BSD-derived telnetd
25/tcp   open     smtp        Cisco PIX sanatized smtpd
111/tcp  open     rpc
465/tcp  open     ssl/smtp    Exim smtpd 4.63
587/tcp  open     smtp        Exim smtpd 4.63
1005/tcp open     rpc
1720/tcp filtered H.323/Q.931
2000/tcp filtered callbook
5060/tcp filtered sip


Interesting ports on **.**.**.**:
Not shown: 1669 closed ports
PORT     STATE    SERVICE     VERSION
21/tcp   open     ftp         vsftpd 2.0.5
22/tcp   open     ssh         OpenSSH 4.3 (protocol 2.0)
111/tcp  open     rpc
139/tcp  open     netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
445/tcp  open     netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
672/tcp  open     rpc
1720/tcp filtered H.323/Q.931
2000/tcp filtered callbook
3306/tcp open     mysql       MySQL 5.1.56-community
5060/tcp filtered sip
8007/tcp open     ajp12?


Interesting ports on x3250-6 (**.**.**.**):
Not shown: 1669 closed ports
PORT     STATE SERVICE    VERSION
21/tcp   open  ftp        vsftpd 2.0.5
22/tcp   open  ssh        OpenSSH 4.3 (protocol 2.0)
25/tcp   open  smtp       Exim smtpd 4.63
111/tcp  open  rpc
465/tcp  open  ssl/smtp   Exim smtpd 4.63
587/tcp  open  smtp       Exim smtpd
602/tcp  open  rpc
8000/tcp open  http-proxy nginx http proxy 1.5.4
8009/tcp open  ajp13?
8080/tcp open  http       Apache Tomcat/Coyote JSP engine 1.1
9100/tcp open  jetdirect?


Interesting ports on **.**.**.**:
Not shown: 1665 closed ports
PORT     STATE SERVICE      VERSION
21/tcp   open  ftp          Microsoft ftpd
80/tcp   open  http         Microsoft IIS webserver 6.0
82/tcp   open  http         Microsoft IIS webserver 6.0
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds Microsoft Windows 2003 microsoft-ds
1026/tcp open  msrpc        Microsoft Windows RPC
1027/tcp open  msrpc        Microsoft Windows RPC
1433/tcp open  ms-sql-s?
2013/tcp open  raid-am?
5001/tcp open  apc-agent    APC PowerChute agent
5800/tcp open  vnc-http     RealVNC 4.0 (Resolution 400x250; VNC TCP port: 5900)
5900/tcp open  vnc          VNC (protocol 3.8)
8009/tcp open  ajp13?
8080/tcp open  http         Apache Tomcat/Coyote JSP engine 1.1


Interesting ports on **.**.**.**:
Not shown: 1673 closed ports
PORT     STATE SERVICE          VERSION
21/tcp   open  ftp              vsftpd 2.0.5
22/tcp   open  ssh              OpenSSH 4.3 (protocol 2.0)
111/tcp  open  rpc
139/tcp  open  netbios-ssn      Samba smbd 3.X (workgroup: MYGROUP)
445/tcp  open  netbios-ssn      Samba smbd 3.X (workgroup: MYGROUP)
677/tcp  open  rpc
7000/tcp open  afs3-fileserver?


Interesting ports on **.**.**.**:
Not shown: 1674 closed ports
PORT    STATE SERVICE     VERSION
21/tcp  open  ftp         vsftpd 2.0.5
22/tcp  open  ssh         OpenSSH 4.3 (protocol 2.0)
111/tcp open  rpc
139/tcp open  netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
783/tcp open  rpc


7.用root1234这个密码直接ssh到了**.**.**.**这台机器

a1.png


a.png


到了10.1.2.*段了
8.已经到了核心业务段了,内网服务基本一览无余了,点到为止,就没有深入搞了。

漏洞证明:

1.

if.png


2.

a1.png

修复方案:

1.删除不必要的上传组件,或者过滤上传
2.升级内网机器内核
3.禁止服务器弱口令
4.完善防火墙策略
5.未做任何修改,未动任何数据。紧作为一次测试。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-10-08 10:18

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现.
影响的数据:高
攻击成本:低
造成影响:高
综合评级为:高,rank:18
正在联系相关网站管理单位处置。

最新状态:

暂无