比亚迪某站点命令执行(泄露内部信息，部门、OA登录名、工号)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089858

漏洞标题：比亚迪某站点命令执行(泄露内部信息，部门、OA登录名、工号)

漏洞作者：路人甲

提交时间：2015-01-04 09:59

修复时间：2015-02-18 10:00

公开时间：2015-02-18 10:00

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-04：细节已通知厂商并且等待厂商处理中
2015-01-04：厂商已经确认，细节仅向厂商公开
2015-01-14：细节向核心白帽子及相关领域专家公开
2015-01-24：细节向普通白帽子公开
2015-02-03：细节向实习白帽子公开
2015-02-18：细节向公众公开

简要描述：

命令执行，危害你懂的。

详细说明：

1.
问题站点：http://tms.byd.com.cn/system/login!login.action
该站点为比亚迪内部使用的TMS运输管理系统。

2.
问题出在使用了struts 2开发框架上，导致命令执行。

3.
进一步挖掘站点内部信息：
（1）

网站物理路径： C:\tomcat-6.0.32-x64-80\webapps\ROOT
java.home: C:\Java\jdk1.6.0_26\jre
java.version: 1.6.0_26
os.name: Windows 2003
os.arch: amd64
os.version: 5.2
user.name: Administrator
user.home: C:\Documents and Settings\Administrator
user.dir: C:\tomcat-6.0.32-x64-80\bin
java.class.version: 50.0
java.class.path: C:\tomcat-6.0.32-x64-80\bin\bootstrap.jar
java.library.path: C:\Java\jdk1.6.0_26\bin;C:\WINDOWS\Sun\Java\bin;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;.
file.separator: \
path.separator: ;
java.vendor: Sun Microsystems Inc.
java.vendor.url: http://java.sun.com/
java.vm.specification.version: 1.0
java.vm.specification.vendor: Sun Microsystems Inc.
java.vm.specification.name: Java Virtual Machine Specification
java.vm.version: 20.1-b02
java.vm.vendor: Sun Microsystems Inc.
java.vm.name: Java HotSpot(TM) 64-Bit Server VM
java.specification.version: 1.6
java.specification.vender: 
java.specification.name: Java Platform API Specification
java.io.tmpdir: C:\tomcat-6.0.32-x64-80\temp
hibernate信息

（2）

主机名:           TMS-APP01
OS 名称:          Microsoft(R) Windows(R) Server 2003 Enterprise x64 Edition
OS 版本:          5.2.3790 Service Pack 2 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     BYD
注册的组织:       BYD
产品 ID:          91353-644-4821391-50625
初始安装日期:     2011-10-11, 18:03:24
系统启动时间:     6 天 0 小时 57 分 0 秒
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 2 个处理器。
                  [01]: EM64T Family 6 Model 44 Stepping 2 GenuineIntel ~2926 Mhz
                  [02]: EM64T Family 6 Model 44 Stepping 2 GenuineIntel ~2926 Mhz
BIOS 版本:        UNKNOWN
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京，重庆，香港特别行政区，乌鲁木齐
物理内存总量:     8,191 MB
可用的物理内存:   6,839 MB
页面文件: 最大值: 9,793 MB
页面文件: 可用:   8,697 MB
页面文件: 使用中: 1,096 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       \\TMS-APP01
修补程序:         安装了 387 个修补程序。
                  [01]: File 1
                  [02]: File 1
                  [03]: File 1
                  [04]: File 1
                  [05]: File 1
                  [06]: File 1
                  [07]: File 1
                  [08]: File 1
                  [09]: File 1
                  [10]: File 1
                  [11]: File 1
                  [12]: File 1
                  [13]: File 1
                  [14]: File 1
                  [15]: File 1
                  [16]: File 1
                  [17]: File 1
                  [18]: File 1
                  [19]: File 1
                  [20]: File 1
                  [21]: File 1
                  [22]: File 1
                  [23]: File 1
                  [24]: File 1
                  [25]: File 1
                  [26]: File 1
                  [27]: File 1
                  [28]: File 1
                  [29]: File 1
                  [30]: File 1
                  [31]: File 1
                  [32]: File 1
                  [33]: File 1
                  [34]: File 1
                  [35]: File 1
                  [36]: File 1
                  [37]: File 1
                  [38]: File 1
                  [39]: File 1
                  [40]: File 1
                  [41]: File 1
                  [42]: File 1
                  [43]: File 1
                  [44]: File 1
                  [45]: File 1
                  [46]: File 1
                  [47]: File 1
                  [48]: File 1
                  [49]: File 1
                  [50]: File 1
                  [51]: File 1
                  [52]: File 1
                  [53]: File 1
                  [54]: File 1
                  [55]: File 1
                  [56]: File 1
                  [57]: File 1
                  [58]: File 1
                  [59]: File 1
                  [60]: File 1
                  [61]: File 1
                  [62]: File 1
                  [63]: File 1
                  [64]: File 1
                  [65]: File 1
                  [66]: File 1
                  [67]: File 1
                  [68]: File 1
                  [69]: File 1
                  [70]: File 1
                  [71]: File 1
                  [72]: File 1
                  [73]: File 1
                  [74]: File 1
                  [75]: File 1
                  [76]: File 1
                  [77]: File 1
                  [78]: File 1
                  [79]: File 1
                  [80]: File 1
                  [81]: File 1
                  [82]: File 1
                  [83]: File 1
                  [84]: File 1
                  [85]: File 1
                  [86]: File 1
                  [87]: File 1
                  [88]: File 1
                  [89]: File 1
                  [90]: File 1
                  [91]: File 1
                  [92]: File 1
                  [93]: File 1
                  [94]: File 1
                  [95]: File 1
                  [96]: File 1
                  [97]: File 1
                  [98]: File 1
                  [99]: File 1
                  [100]: File 1
                  [101]: File 1
                  [102]: File 1
                  [103]: File 1
                  [104]: File 1
                  [105]: File 1
                  [106]: File 1
                  [107]: File 1
                  [108]: File 1
                  [109]: File 1
                  [110]: File 1
                  [111]: File 1
                  [112]: File 1
                  [113]: File 1
                  [114]: File 1
                  [115]: File 1
                  [116]: File 1
                  [117]: File 1
                  [118]: File 1
                  [119]: File 1
                  [120]: File 1
                  [121]: File 1
                  [122]: File 1
                  [123]: File 1
                  [124]: File 1
                  [125]: File 1
                  [126]: File 1
                  [127]: File 1
                  [128]: File 1
                  [129]: File 1
                  [130]: File 1
                  [131]: File 1
                  [132]: File 1
                  [133]: File 1
                  [134]: File 1
                  [135]: File 1
                  [136]: File 1
                  [137]: File 1
                  [138]: File 1
                  [139]: File 1
                  [140]: File 1
                  [141]: File 1
                  [142]: File 1
                  [143]: File 1
                  [144]: File 1
                  [145]: File 1
                  [146]: File 1
                  [147]: File 1
                  [148]: File 1
                  [149]: File 1
                  [150]: File 1
                  [151]: File 1
                  [152]: File 1
                  [153]: File 1
                  [154]: File 1
                  [155]: File 1
                  [156]: File 1
                  [157]: File 1
                  [158]: File 1
                  [159]: File 1
                  [160]: File 1
                  [161]: File 1
                  [162]: File 1
                  [163]: File 1
                  [164]: File 1
                  [165]: File 1
                  [166]: File 1
                  [167]: File 1
                  [168]: File 1
                  [169]: File 1
                  [170]: File 1
                  [171]: File 1
                  [172]: File 1
                  [173]: File 1
                  [174]: File 1
                  [175]: File 1
                  [176]: File 1
                  [177]: File 1
                  [178]: File 1
                  [179]: File 1
                  [180]: File 1
                  [181]: File 1
                  [182]: File 1
                  [183]: File 1
                  [184]: File 1
                  [185]: File 1
                  [186]: File 1
                  [187]: File 1
                  [188]: File 1
                  [189]: File 1
                  [190]: File 1
                  [191]: File 1
                  [192]: File 1
                  [193]: Q147222
                  [194]: KB975558_WM8
                  [195]: KB925398_WMP64
                  [196]: KB2564958 - Update
                  [197]: KB2079403 - Update
                  [198]: KB2115168 - Update
                  [199]: KB2121546 - Update
                  [200]: KB2229593 - Update
                  [201]: KB2259922 - Update
                  [202]: KB2286198 - Update
                  [203]: KB2296011 - Update
                  [204]: KB2296199 - Update
                  [205]: KB2345886 - Update
                  [206]: KB2347290 - Update
                  [207]: KB2360937 - Update
                  [208]: KB2378111 - Update
                  [209]: KB2387149 - Update
                  [210]: KB2393802 - Update
                  [211]: KB2412687 - Update
                  [212]: KB2416400 - Update
                  [213]: KB2419635 - Update
                  [214]: KB2423089 - Update
                  [215]: KB2436673 - Update
                  [216]: KB2440591 - Update
                  [217]: KB2443105 - Update
                  [218]: KB2467659 - Update
                  [219]: KB2476490 - Update
                  [220]: KB2476687 - Update
                  [221]: KB2478960 - Update
                  [222]: KB2478971 - Update
                  [223]: KB2483185 - Update
                  [224]: KB2485663 - Update
                  [225]: KB2497640 - Update
                  [226]: KB2503658 - Update
                  [227]: KB2503665 - Update
                  [228]: KB2506212 - Update
                  [229]: KB2506223 - Update
                  [230]: KB2507618 - Update
                  [231]: KB2507938 - Update
                  [232]: KB2508272 - Update
                  [233]: KB2508429 - Update
                  [234]: KB2509553 - Update
                  [235]: KB2510587 - Update
                  [236]: KB2511455 - Update
                  [237]: KB2524375 - Update
                  [238]: KB2530548 - Update
                  [239]: KB2535512 - Update
                  [240]: KB2536276-v2 - Update
                  [241]: KB2544521 - Update
                  [242]: KB2544893 - Update
                  [243]: KB2544893-v2 - Update
                  [244]: KB2555917 - Update
                  [245]: KB2566454 - Update
                  [246]: KB2567680 - Update
                  [247]: KB2570222 - Update
                  [248]: KB2570947 - Update
                  [249]: KB2584146 - Update
                  [250]: KB2598479 - Updat
网卡:             安装了 1 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                      [01]: 10.9.28.98

4.
由运维人员将该内部站点搭建成一台文件服务器，可能是为了临时贪图方便吧。

但也方便了进一步收集内部人员信息。

仅是进行展示漏洞带来的危害性，并无收集贵公司任何内部信息。

漏洞证明：

1.
问题站点：http://tms.byd.com.cn/system/login!login.action
该站点为比亚迪内部使用的TMS运输管理系统。

2.
问题出在使用了struts 2开发框架上，导致命令执行。

3.
进一步挖掘站点内部信息：
（1）

网站物理路径： C:\tomcat-6.0.32-x64-80\webapps\ROOT
java.home: C:\Java\jdk1.6.0_26\jre
java.version: 1.6.0_26
os.name: Windows 2003
os.arch: amd64
os.version: 5.2
user.name: Administrator
user.home: C:\Documents and Settings\Administrator
user.dir: C:\tomcat-6.0.32-x64-80\bin
java.class.version: 50.0
java.class.path: C:\tomcat-6.0.32-x64-80\bin\bootstrap.jar
java.library.path: C:\Java\jdk1.6.0_26\bin;C:\WINDOWS\Sun\Java\bin;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;.
file.separator: \
path.separator: ;
java.vendor: Sun Microsystems Inc.
java.vendor.url: http://java.sun.com/
java.vm.specification.version: 1.0
java.vm.specification.vendor: Sun Microsystems Inc.
java.vm.specification.name: Java Virtual Machine Specification
java.vm.version: 20.1-b02
java.vm.vendor: Sun Microsystems Inc.
java.vm.name: Java HotSpot(TM) 64-Bit Server VM
java.specification.version: 1.6
java.specification.vender: 
java.specification.name: Java Platform API Specification
java.io.tmpdir: C:\tomcat-6.0.32-x64-80\temp
hibernate信息

（2）

主机名:           TMS-APP01
OS 名称:          Microsoft(R) Windows(R) Server 2003 Enterprise x64 Edition
OS 版本:          5.2.3790 Service Pack 2 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Multiprocessor Free
注册的所有人:     BYD
注册的组织:       BYD
产品 ID:          91353-644-4821391-50625
初始安装日期:     2011-10-11, 18:03:24
系统启动时间:     6 天 0 小时 57 分 0 秒
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         x64-based PC
处理器:           安装了 2 个处理器。
                  [01]: EM64T Family 6 Model 44 Stepping 2 GenuineIntel ~2926 Mhz
                  [02]: EM64T Family 6 Model 44 Stepping 2 GenuineIntel ~2926 Mhz
BIOS 版本:        UNKNOWN
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京，重庆，香港特别行政区，乌鲁木齐
物理内存总量:     8,191 MB
可用的物理内存:   6,839 MB
页面文件: 最大值: 9,793 MB
页面文件: 可用:   8,697 MB
页面文件: 使用中: 1,096 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       \\TMS-APP01
修补程序:         安装了 387 个修补程序。
                  [01]: File 1
                  [02]: File 1
                  [03]: File 1
                  [04]: File 1
                  [05]: File 1
                  [06]: File 1
                  [07]: File 1
                  [08]: File 1
                  [09]: File 1
                  [10]: File 1
                  [11]: File 1
                  [12]: File 1
                  [13]: File 1
                  [14]: File 1
                  [15]: File 1
                  [16]: File 1
                  [17]: File 1
                  [18]: File 1
                  [19]: File 1
                  [20]: File 1
                  [21]: File 1
                  [22]: File 1
                  [23]: File 1
                  [24]: File 1
                  [25]: File 1
                  [26]: File 1
                  [27]: File 1
                  [28]: File 1
                  [29]: File 1
                  [30]: File 1
                  [31]: File 1
                  [32]: File 1
                  [33]: File 1
                  [34]: File 1
                  [35]: File 1
                  [36]: File 1
                  [37]: File 1
                  [38]: File 1
                  [39]: File 1
                  [40]: File 1
                  [41]: File 1
                  [42]: File 1
                  [43]: File 1
                  [44]: File 1
                  [45]: File 1
                  [46]: File 1
                  [47]: File 1
                  [48]: File 1
                  [49]: File 1
                  [50]: File 1
                  [51]: File 1
                  [52]: File 1
                  [53]: File 1
                  [54]: File 1
                  [55]: File 1
                  [56]: File 1
                  [57]: File 1
                  [58]: File 1
                  [59]: File 1
                  [60]: File 1
                  [61]: File 1
                  [62]: File 1
                  [63]: File 1
                  [64]: File 1
                  [65]: File 1
                  [66]: File 1
                  [67]: File 1
                  [68]: File 1
                  [69]: File 1
                  [70]: File 1
                  [71]: File 1
                  [72]: File 1
                  [73]: File 1
                  [74]: File 1
                  [75]: File 1
                  [76]: File 1
                  [77]: File 1
                  [78]: File 1
                  [79]: File 1
                  [80]: File 1
                  [81]: File 1
                  [82]: File 1
                  [83]: File 1
                  [84]: File 1
                  [85]: File 1
                  [86]: File 1
                  [87]: File 1
                  [88]: File 1
                  [89]: File 1
                  [90]: File 1
                  [91]: File 1
                  [92]: File 1
                  [93]: File 1
                  [94]: File 1
                  [95]: File 1
                  [96]: File 1
                  [97]: File 1
                  [98]: File 1
                  [99]: File 1
                  [100]: File 1
                  [101]: File 1
                  [102]: File 1
                  [103]: File 1
                  [104]: File 1
                  [105]: File 1
                  [106]: File 1
                  [107]: File 1
                  [108]: File 1
                  [109]: File 1
                  [110]: File 1
                  [111]: File 1
                  [112]: File 1
                  [113]: File 1
                  [114]: File 1
                  [115]: File 1
                  [116]: File 1
                  [117]: File 1
                  [118]: File 1
                  [119]: File 1
                  [120]: File 1
                  [121]: File 1
                  [122]: File 1
                  [123]: File 1
                  [124]: File 1
                  [125]: File 1
                  [126]: File 1
                  [127]: File 1
                  [128]: File 1
                  [129]: File 1
                  [130]: File 1
                  [131]: File 1
                  [132]: File 1
                  [133]: File 1
                  [134]: File 1
                  [135]: File 1
                  [136]: File 1
                  [137]: File 1
                  [138]: File 1
                  [139]: File 1
                  [140]: File 1
                  [141]: File 1
                  [142]: File 1
                  [143]: File 1
                  [144]: File 1
                  [145]: File 1
                  [146]: File 1
                  [147]: File 1
                  [148]: File 1
                  [149]: File 1
                  [150]: File 1
                  [151]: File 1
                  [152]: File 1
                  [153]: File 1
                  [154]: File 1
                  [155]: File 1
                  [156]: File 1
                  [157]: File 1
                  [158]: File 1
                  [159]: File 1
                  [160]: File 1
                  [161]: File 1
                  [162]: File 1
                  [163]: File 1
                  [164]: File 1
                  [165]: File 1
                  [166]: File 1
                  [167]: File 1
                  [168]: File 1
                  [169]: File 1
                  [170]: File 1
                  [171]: File 1
                  [172]: File 1
                  [173]: File 1
                  [174]: File 1
                  [175]: File 1
                  [176]: File 1
                  [177]: File 1
                  [178]: File 1
                  [179]: File 1
                  [180]: File 1
                  [181]: File 1
                  [182]: File 1
                  [183]: File 1
                  [184]: File 1
                  [185]: File 1
                  [186]: File 1
                  [187]: File 1
                  [188]: File 1
                  [189]: File 1
                  [190]: File 1
                  [191]: File 1
                  [192]: File 1
                  [193]: Q147222
                  [194]: KB975558_WM8
                  [195]: KB925398_WMP64
                  [196]: KB2564958 - Update
                  [197]: KB2079403 - Update
                  [198]: KB2115168 - Update
                  [199]: KB2121546 - Update
                  [200]: KB2229593 - Update
                  [201]: KB2259922 - Update
                  [202]: KB2286198 - Update
                  [203]: KB2296011 - Update
                  [204]: KB2296199 - Update
                  [205]: KB2345886 - Update
                  [206]: KB2347290 - Update
                  [207]: KB2360937 - Update
                  [208]: KB2378111 - Update
                  [209]: KB2387149 - Update
                  [210]: KB2393802 - Update
                  [211]: KB2412687 - Update
                  [212]: KB2416400 - Update
                  [213]: KB2419635 - Update
                  [214]: KB2423089 - Update
                  [215]: KB2436673 - Update
                  [216]: KB2440591 - Update
                  [217]: KB2443105 - Update
                  [218]: KB2467659 - Update
                  [219]: KB2476490 - Update
                  [220]: KB2476687 - Update
                  [221]: KB2478960 - Update
                  [222]: KB2478971 - Update
                  [223]: KB2483185 - Update
                  [224]: KB2485663 - Update
                  [225]: KB2497640 - Update
                  [226]: KB2503658 - Update
                  [227]: KB2503665 - Update
                  [228]: KB2506212 - Update
                  [229]: KB2506223 - Update
                  [230]: KB2507618 - Update
                  [231]: KB2507938 - Update
                  [232]: KB2508272 - Update
                  [233]: KB2508429 - Update
                  [234]: KB2509553 - Update
                  [235]: KB2510587 - Update
                  [236]: KB2511455 - Update
                  [237]: KB2524375 - Update
                  [238]: KB2530548 - Update
                  [239]: KB2535512 - Update
                  [240]: KB2536276-v2 - Update
                  [241]: KB2544521 - Update
                  [242]: KB2544893 - Update
                  [243]: KB2544893-v2 - Update
                  [244]: KB2555917 - Update
                  [245]: KB2566454 - Update
                  [246]: KB2567680 - Update
                  [247]: KB2570222 - Update
                  [248]: KB2570947 - Update
                  [249]: KB2584146 - Update
                  [250]: KB2598479 - Updat
网卡:             安装了 1 个 NIC。
                  [01]: Intel(R) PRO/1000 MT Network Connection
                      连接名:      本地连接
                      启用 DHCP:   否
                      IP 地址
                      [01]: 10.9.28.98

4.
由运维人员将该内部站点搭建成一台文件服务器，可能是为了临时贪图方便吧。

但也方便了进一步收集内部人员信息。

仅是进行展示漏洞带来的危害性，并无收集贵公司任何内部信息。

修复方案：

你们更专业，同时也相信比亚迪信息安全体系越来越完善。

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-01-04 16:56

厂商回复：

已确认，在修复中。感谢白帽们的理解和支持。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089858

漏洞标题：比亚迪某站点命令执行(泄露内部信息，部门、OA登录名、工号)

相关厂商：bydauto.com.cn

漏洞作者：路人甲

提交时间：2015-01-04 09:59

修复时间：2015-02-18 10:00

公开时间：2015-02-18 10:00

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089858

漏洞标题：比亚迪某站点命令执行(泄露内部信息，部门、OA登录名、工号)

相关厂商：bydauto.com.cn

漏洞作者： 路人甲

提交时间：2015-01-04 09:59

修复时间：2015-02-18 10:00

公开时间：2015-02-18 10:00

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-089858"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云