当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094520

漏洞标题:民航公安交通管理系统S2-016命令执行,可被内网渗透

相关厂商:cncert国家互联网应急中心

漏洞作者: PSoul

提交时间:2015-01-29 15:24

修复时间:2015-03-15 15:26

公开时间:2015-03-15 15:26

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-13: 细节向核心白帽子及相关领域专家公开
2015-02-23: 细节向普通白帽子公开
2015-03-05: 细节向实习白帽子公开
2015-03-15: 细节向公众公开

简要描述:

民航公安交通管理系统S2-016命令执行,可被内网渗透,发现了一枚前人的shell

详细说明:

漏洞主页是http://219.134.93.106:8080/login/login.jsp
漏洞地址在:http://219.134.93.106:8080/login/logon.action

1.png

漏洞证明:

webshell证明,前辈的一枚webshell(话说存在了这么久)

1.png


内网渗透信息:
自带nmap

1.png


[/usr/local/tomcat_new/temp/0-ROOT/]$ ifconfig
eth0      Link encap:Ethernet  HWaddr 28:6E:D4:4D:C6:31  
          inet addr:172.22.226.14  Bcast:172.22.226.255  Mask:255.255.255.0
          inet6 addr: fe80::2a6e:d4ff:fe4d:c631/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:80558701 errors:0 dropped:0 overruns:0 frame:0
          TX packets:93260117 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:15685045269 (14.6 GiB)  TX bytes:17908764253 (16.6 GiB)
          Interrupt:28 Memory:f6000000-f6012800 
eth1      Link encap:Ethernet  HWaddr 5C:F3:FC:BA:FF:D8  
          inet addr:192.168.1.26  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:40 Memory:f8000000-f8012800 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:83216520 errors:0 dropped:0 overruns:0 frame:0
          TX packets:83216520 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:16108977123 (15.0 GiB)  TX bytes:16108977123 (15.0 GiB)
virbr0    Link encap:Ethernet  HWaddr 32:90:A4:03:08:E9  
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:142188 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:6544030 (6.2 MiB)


[/usr/local/tomcat_new/temp/0-ROOT/]$ cat /etc/hosts
192.168.0.225 dbserver
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.0.225 dbserver.com


[/usr/local/tomcat_new/temp/0-ROOT/]$ arp -a
? (172.22.226.254) at 00:00:5e:00:01:01 [ether] on eth0
? (172.22.226.253) at 00:23:89:ef:f1:e4 [ether] on eth0


SQLDriver为数据库驱动程序,DatabaseName 为数据库名,SQLUSER 为登录用户名,SQLPASS 为登录密码。请自行更改。
SQLDriver=net.sourceforge.jtds.jdbc.Driver
SQLURL=jdbc:jtds:sqlserver://192.168.1.13:1433/vepis
SQLUSER=sa
SQLPASS=sa
#Oracle数据库连接信息
OracleDriver=oracle.jdbc.driver.OracleDriver
#OracleURL=jdbc:oracle:thin:@219.134.93.106:1521/orcl
#OracleURL=jdbc:oracle:thin:@192.168.1.250:1521/orcl
OracleURL=jdbc:oracle:thin:@127.0.0.1:1521/orcl
username=****
password=****
#OracleURL=jdbc:oracle:thin:@192.168.0.222:1521/orcl.localdomain
#username=****
#password=****
#Oracle数据库“用于同步数据”的连接信息
OracleDriverSynch=oracle.jdbc.driver.OracleDriver
OracleURLSynch=jdbc:oracle:thin:@192.168.1.10:1521:gzpolice
usernameSynch=****
passwordSynch=****


1.png


证明如上,目标较特殊,就不搞内网了

修复方案:

升级Struts2框架,清除webshell,内部审计是否被脱裤

版权声明:转载请注明来源 PSoul@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-02-03 10:03

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向民航局测评中心通报,由其后续协调网站管理单位处置.

最新状态:

暂无