当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-094473

漏洞标题:广州联通某站从设计漏洞到命令执行漏洞影响整个服务器安全

相关厂商:广州联通

漏洞作者: BMa

提交时间:2015-01-29 13:08

修复时间:2015-03-15 13:10

公开时间:2015-03-15 13:10

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:16

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-29: 细节已通知厂商并且等待厂商处理中
2015-02-02: 厂商已经确认,细节仅向厂商公开
2015-02-12: 细节向核心白帽子及相关领域专家公开
2015-02-22: 细节向普通白帽子公开
2015-03-04: 细节向实习白帽子公开
2015-03-15: 细节向公众公开

简要描述:

广州联通某站从设计漏洞到拿下服务器,管理广州市联通的所有销售功能
管理审核时麻烦注意一下,这次可是完全不同的思路 - - !
就不深入啦,那什么脱裤,远程咱可是一个都不会

详细说明:

站点:https://58.248.49.138 广州联通销售管理系统
从某些信息可以推断该管理系统在使用时会回每个自营厅生成一个6位数用户名,生成的默认密码为888888,很多人是不会改密码的,并且这里的验证码并没有每session强制刷新
首先来爆破一下自营厅用户:

0.jpg


1.jpg


登录前4个用户看看:

2.jpg


2.1.jpg


2.2.jpg


2.3.jpg


发现200800、201299这两个用户拥有大部分功能,其他两个只有一般的功能
默认登录200800后是进入这个url:https://58.248.49.138/framework.do?ds=DS_RDCP_RUN_PAGE&page_code=XHP
直接访问:https://58.248.49.138则可以进入管理页面,拥有所有功能:可以对整个广州市联通的各个营业厅、销售订单、网点等进行管理,当然这不是我们的重点,接下来是要getshell

3.jpg


找了各个点,发现只能解析xls,最终,找到了一个点:
在系统管理-tac码管理-tac查询-校验里输入数字:86040702,点击校验,单tac码不存在时就会出现一个添加按钮,其中可以上传任意文件

4.jpg


然后去tac查询,点击图片里的显示,即可得到shell

5.jpg


shell:<需要登录,账号常见上面的图片>
https://58.248.49.138/uploadfile//temp/image/201501282041481.jsp 密码:jspspy
https://58.248.49.138/cmd.jsp
应该是使用的域,当前用户属于系统管理员组:

6.jpg


7.jpg


看看数据库:

8.jpg


漏洞证明:

修复方案:

版权声明:转载请注明来源 BMa@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-02-02 16:22

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给广东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无