工信部某站命令执行可深入内网（非st2）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112325

漏洞标题：工信部某站命令执行可深入内网（非st2）

漏洞作者： fuckadmin

提交时间：2015-05-06 00:08

修复时间：2015-06-23 16:28

公开时间：2015-06-23 16:28

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-05-06：细节已通知厂商并且等待厂商处理中
2015-05-09：厂商已经确认，细节仅向厂商公开
2015-05-19：细节向核心白帽子及相关领域专家公开
2015-05-29：细节向普通白帽子公开
2015-06-08：细节向实习白帽子公开
2015-06-23：细节向公众公开

简要描述：

上次是cncert，这次测试的是工信部。

详细说明：

1.基本信息
站点：https://txzb.miit.gov.cn
系统名：通信工程建设项目招标投标管理信息平台
存在问题：invoker/JMXInvokerServlet接口未限制访问
2.测试过程

可惜不是root
但不影响下一步深入
3.深入发现
（1）防御策略

#平台级别默认防御策略
defend.js=true
defend.sql=true
#例外页面(防御策略不过滤的页面)
defend.js.exception=EDFA00|EDFA01|
defend.sql.exception=PMBU05|
#例外页面（防御策略一定过滤的页面)
defend.js.always=*|%
defend.sql.always=
#防御xss跨站攻击用
defend.js.replacefrom=&|<|>|"|'
defend.js.replaceTo=&amp;|&lt;| &gt;|&quot;|&#x27;|&#x2f;
#防御sql脚本注入用
defend.sql.filter=exec|execute|update|delete |count |drop|chr|mid|master|truncate |like |char|declare|sitename|net user|xp_cmdshell| or | like'| and |exec|execute|insert |create | drop |

虽然做了些xxs和sql注入过滤，但安全是一个整体—。—。
（2)数据库配置

# JDBC Configuration for Oracle
jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@10.1.1.37:1521:zsdb
jdbc.username=gxbbid
jdbc.password=gxbbid
jdbc.maxActive=100
#jdbc.maxIdle=30
#jdbc.maxWait=100
#jdbc.removeAbandoned=true
#jdbc.removeAbandonedTimeout=30

（3）FTP配置信息

?#根目录
Path=/home/baoxin/jboss-4.2.3.GA/server/default/fileDir/
#上传文件的临时目录
Upload_Temp_File=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#上传最大值 1024*1024*100
Upload_Size_Max=104857600
#Ftp设置
Ftp_Host=10.1.1.18
Ftp_Username=ftpbid
FTP_Password=ftpbid
Ftp_Defart_Dir=/
Ftp_Port=21
Ftp_Prior_Download=true
#上传路径设置 相对Path的路径
#Upload_Bid_PackageDir=uploadDir/bidPackage
#Upload_Tender_File=uploadDir/tenderFile
#Excel 模版目录/jboss/jboss-4.0.3/server/default/excel d:/excel
Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
#Excel 临时目录存放生成的Excel /jboss/jboss-4.0.3/server/default/temp d:/excel/temp
Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
Word_Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
Word_Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#URL加密方法，一般设为： QueryString，不设为不加密 
UrlEncoder=QueryString

不深入挖掘了，仅仅对站点系统进行检测，并无其它违规操作，相关截图也已删除，管理员大哥可查看相关操作日志。

漏洞证明：

1.基本信息
站点：https://txzb.miit.gov.cn
系统名：通信工程建设项目招标投标管理信息平台
存在问题：invoker/JMXInvokerServlet接口未限制访问
2.测试过程

可惜不是root
但不影响下一步深入
3.深入发现
（1）防御策略

#平台级别默认防御策略
defend.js=true
defend.sql=true
#例外页面(防御策略不过滤的页面)
defend.js.exception=EDFA00|EDFA01|
defend.sql.exception=PMBU05|
#例外页面（防御策略一定过滤的页面)
defend.js.always=*|%
defend.sql.always=
#防御xss跨站攻击用
defend.js.replacefrom=&|<|>|"|'
defend.js.replaceTo=&amp;|&lt;| &gt;|&quot;|&#x27;|&#x2f;
#防御sql脚本注入用
defend.sql.filter=exec|execute|update|delete |count |drop|chr|mid|master|truncate |like |char|declare|sitename|net user|xp_cmdshell| or | like'| and |exec|execute|insert |create | drop |

虽然做了些xxs和sql注入过滤，但安全是一个整体—。—。
（2)数据库配置

# JDBC Configuration for Oracle
jdbc.driverClassName=oracle.jdbc.driver.OracleDriver
jdbc.url=jdbc:oracle:thin:@10.1.1.37:1521:zsdb
jdbc.username=gxbbid
jdbc.password=gxbbid
jdbc.maxActive=100
#jdbc.maxIdle=30
#jdbc.maxWait=100
#jdbc.removeAbandoned=true
#jdbc.removeAbandonedTimeout=30

（3）FTP配置信息

?#根目录
Path=/home/baoxin/jboss-4.2.3.GA/server/default/fileDir/
#上传文件的临时目录
Upload_Temp_File=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#上传最大值 1024*1024*100
Upload_Size_Max=104857600
#Ftp设置
Ftp_Host=10.1.1.18
Ftp_Username=ftpbid
FTP_Password=ftpbid
Ftp_Defart_Dir=/
Ftp_Port=21
Ftp_Prior_Download=true
#上传路径设置 相对Path的路径
#Upload_Bid_PackageDir=uploadDir/bidPackage
#Upload_Tender_File=uploadDir/tenderFile
#Excel 模版目录/jboss/jboss-4.0.3/server/default/excel d:/excel
Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
#Excel 临时目录存放生成的Excel /jboss/jboss-4.0.3/server/default/temp d:/excel/temp
Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
Word_Excel_Dir=/home/baoxin/jboss-4.2.3.GA/server/default/excel
Word_Excel_Dir_Temp=/home/baoxin/jboss-4.2.3.GA/server/default/temp
#URL加密方法，一般设为： QueryString，不设为不加密 
UrlEncoder=QueryString

不深入挖掘了，仅仅对站点系统进行检测，并无其它违规操作，相关截图也已删除，管理员大哥可查看相关操作日志。

修复方案：

1.删除接口
2.限制访问
3.优化防御策略，增加恶意请求判断

版权声明：转载请注明来源 fuckadmin@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-05-09 16:27

厂商回复：

CNVD确认所述情况,已经转由CNCERT向国家上级信息安全协调机构上报,由其后续协调网站管理单位处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112325

漏洞标题：工信部某站命令执行可深入内网（非st2）

相关厂商：工信部

漏洞作者： fuckadmin

提交时间：2015-05-06 00:08

修复时间：2015-06-23 16:28

公开时间：2015-06-23 16:28

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 fuckadmin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0112325

漏洞标题：工信部某站命令执行可深入内网（非st2）

相关厂商：工信部

漏洞作者： fuckadmin

提交时间：2015-05-06 00:08

修复时间：2015-06-23 16:28

公开时间：2015-06-23 16:28

漏洞类型：系统/服务补丁不及时

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0112325"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 fuckadmin@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：