联通某站任意命令执行(getshell并get一数据库)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0164216

漏洞标题：联通某站任意命令执行(getshell并get一数据库)

漏洞作者：路人甲

提交时间：2015-12-24 14:48

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-12-24：细节已通知厂商并且等待厂商处理中
2015-12-28：厂商已经确认，细节仅向厂商公开
2016-01-07：细节向核心白帽子及相关领域专家公开
2016-01-17：细节向普通白帽子公开
2016-01-27：细节向实习白帽子公开
2016-02-09：细节向公众公开

简要描述：

凑个反序列化的热闹~

详细说明：

看到那么多人刷我也来一发~
问题出在
**.**.**.**:3380/invoker/JMXInvokerServlet

JBOSS的任意命令执行
cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbinlogin
daemon:x:2:2:daemon:/sbin:/sbinlogin
adm:x:3:4:adm:ar/adm:/sbinlogin
sync:x:5:0:sync:/sbin:/bin/sync
mail:x:8:12:mail:ar/spool/mail:/sbinlogin
ftp:x:14:50:FTP User:ar/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbinlogin
nscd:x:28:28:NSCD Daemon:/:/sbinlogin
vcsa:x:69:69:virtual console memory owner:/dev:/sbinlogin
ntp:x:38:38::/etc/ntp:/sbinlogin
pcap:x:77:77::ar/arpwatch:/sbinlogin
dbus:x:81:81:System message bus:/:/sbinlogin
avahi:x:70:70:Avahi daemon:/:/sbinlogin
rpc:x:32:32:Portmapper RPC user:/:/sbinlogin
mailnull:x:47:47::ar/spool/mqueue:/sbinlogin
smmsp:x:51:51::ar/spool/mqueue:/sbinlogin
apache:x:48:48:Apache:ar/www:/sbinlogin
sshd:x:74:74:Privilege-separated SSH:ar/empty/sshd:/sbinlogin
rpcuser:x:29:29:RPC Service User:arb/nfs:/sbinlogin
nfsnobody:x:4294967294:4294967294:Anonymous NFS User:arb/nfs:/sbinlogin
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbinlogin
haldaemon:x:68:68:HAL daemon:/:/sbinlogin
avahi-autoipd:x:100:101:avahi-autoipd:arb/avahi-autoipd:/sbinlogin
gdm:x:42:42::ar/gdm:/sbinlogin
sabayon:x:86:86:Sabayon user:/homebayon:/sbinlogin
oracle:x:500:500::/export/home/oracle:/bin/bash
probe:x:501:100::/export/home/probe:/bin/bash
dninms:x:502:100::/export/home/dninms:/bin/bash
admin:x:503:501::/export/home/admin:/bin/bash
cas:x:504:100::/export/home/cas:/bin/bash
zzzxj:x:505:100::/export/home/zzzxj:/bin/bash
原本在当前目录/写shell写进去找不到位置，纠结了一下，之后在配置文件中找到web路径
getshell:

getshell后发现权限不高且目录限制死，利用此版本适用的exp提权没成功，那么换个思路看看配置文件有什么收获，
在inms_app xml配置文件中获得一oracle地址及帐号密码:

看看能不能连上咯~
费劲周折终于用园长大大的JDBCTest连成功，看一下版本和大小:

数据库就点到为止，仅证明连接OK~
另发现一些backup的app，被替换加上后门并且发给不知情人事就不好了吧~

漏洞证明：

修复方案：

你们更专业~

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2015-12-28 19:15

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0164216

漏洞标题：联通某站任意命令执行(getshell并get一数据库)

相关厂商：中国联通

漏洞作者：路人甲

提交时间：2015-12-24 14:48

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0164216

漏洞标题：联通某站任意命令执行(getshell并get一数据库)

相关厂商：中国联通

漏洞作者： 路人甲

提交时间：2015-12-24 14:48

修复时间：2016-02-09 23:29

公开时间：2016-02-09 23:29

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0164216"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云