漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-094473
漏洞标题:广州联通某站从设计漏洞到命令执行漏洞影响整个服务器安全
相关厂商:广州联通
漏洞作者: BMa
提交时间:2015-01-29 13:08
修复时间:2015-03-15 13:10
公开时间:2015-03-15 13:10
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:16
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商已经确认,细节仅向厂商公开
2015-02-12: 细节向核心白帽子及相关领域专家公开
2015-02-22: 细节向普通白帽子公开
2015-03-04: 细节向实习白帽子公开
2015-03-15: 细节向公众公开
简要描述:
广州联通某站从设计漏洞到拿下服务器,管理广州市联通的所有销售功能
管理审核时麻烦注意一下,这次可是完全不同的思路 - - !
就不深入啦,那什么脱裤,远程咱可是一个都不会
详细说明:
站点:https://58.248.49.138 广州联通销售管理系统
从某些信息可以推断该管理系统在使用时会回每个自营厅生成一个6位数用户名,生成的默认密码为888888,很多人是不会改密码的,并且这里的验证码并没有每session强制刷新
首先来爆破一下自营厅用户:
登录前4个用户看看:
发现200800、201299这两个用户拥有大部分功能,其他两个只有一般的功能
默认登录200800后是进入这个url:https://58.248.49.138/framework.do?ds=DS_RDCP_RUN_PAGE&page_code=XHP
直接访问:https://58.248.49.138则可以进入管理页面,拥有所有功能:可以对整个广州市联通的各个营业厅、销售订单、网点等进行管理,当然这不是我们的重点,接下来是要getshell
找了各个点,发现只能解析xls,最终,找到了一个点:
在系统管理-tac码管理-tac查询-校验里输入数字:86040702,点击校验,单tac码不存在时就会出现一个添加按钮,其中可以上传任意文件
然后去tac查询,点击图片里的显示,即可得到shell
shell:<需要登录,账号常见上面的图片>
https://58.248.49.138/uploadfile//temp/image/201501282041481.jsp 密码:jspspy
https://58.248.49.138/cmd.jsp
应该是使用的域,当前用户属于系统管理员组:
看看数据库:
漏洞证明:
修复方案:
版权声明:转载请注明来源 BMa@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:14
确认时间:2015-02-02 16:22
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。
最新状态:
暂无