当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0187540

漏洞标题:运营商安全之中国移动某海外业务命令执行(涉及多库)

相关厂商:中国移动

漏洞作者: 李旭敏

提交时间:2016-03-22 02:20

修复时间:2016-05-09 17:29

公开时间:2016-05-09 17:29

漏洞类型:命令执行

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-03-22: 细节已通知厂商并且等待厂商处理中
2016-03-25: 厂商已经确认,细节仅向厂商公开
2016-04-04: 细节向核心白帽子及相关领域专家公开
2016-04-14: 细节向普通白帽子公开
2016-04-24: 细节向实习白帽子公开
2016-05-09: 细节向公众公开

简要描述:

详细说明:

https://**.**.**.**

1.jpg


Whoami: WebPath: /app/smscorpoffer/v07/htdocs/html
OS.Name: SunOS
OS.Version: 5.10
Java.Home: /usr/jdk/instances/jdk1.6.0/jre
Java.Version: 1.6.0_16
OS.arch: sparcv9
User.Name: tomcat
User.Home: /usr/local/jakarta
User.Dir: /usr/local/jakarta
Java.Class.Path: ./:/usr/java/lib/tools.jar:/usr/java/bin:/usr/java/lib:/u01/app/oracle/product/10.2/jdbc/lib/ojdbc14.jar:/u01/app/oracle/product/10.2/jdbc/lib/classes12.zip:/u01/app/oracle/product/10.2/jdbc/lib/nls_charset12.jar:/usr/j2ee/lib/j2ee.jar:/usr/local/jakarta/tomcat/bin/bootstrap.jar:/usr/local/jakarta/tomcat/bin/commons-logging-api.jar
Java.IO.Tmpdir: /usr/local/jakarta/tomcat/temp

漏洞证明:

2.jpg


hosts文件

#
::1 localhost
**.**.**.** localhost
**.**.**.** ad
**.**.**.** vas1 game1 **.**.**.**
**.**.**.** vas3 **.**.**.** loghost
**.**.**.** orgsms **.**.**.**
**.**.**.** dsd **.**.**.**
**.**.**.** corpsms **.**.**.**
**.**.**.**1 vasback1
**.**.**.**04 test-vas3 test-**.**.**.**
**.**.**.**14 test-**.**.**.**
**.**.**.**15 test-**.**.**.**
**.**.**.**00 itadmin01 log01
**.**.**.** hp01
**.**.**.** mis01
**.**.**.** mbs1
**.**.**.** mbs2
**.**.**.** mbs1-vip
**.**.**.** mbs2-vip
**.**.**.** hpmis **.**.**.**
**.**.**.** gemprot
**.**.**.** gemprop


在网站的根目录下有个叫hi.jsp的文件,我起初以为是webshell,但神奇的是里面保存了数据库配置信息

String driverClassName = "oracle.jdbc.driver.OracleDriver";
String dbURL = "jdbc:oracle:thin:@dev2:1521:ptcdev2";
String dbUser = "ptcwap";
String dbPassword = "pawptc";
Class.forName(driverClassName);


#database connection
dbcpName = java:comp/env/jdbc/debug_ptcwap_ptcgvas
db_driver= oracle.jdbc.driver.OracleDriver
db_url = jdbc:oracle:thin:@dev2:1521:ptcdev2
db_username = ptcmailer
db_password = ptcmailer


#database connection
#corpsms.dbcpName =java:comp/env/jdbc/ptcwap_ptcgvas
corpsms.db_driver=oracle.jdbc.OracleDriver
corpsms.db_url=jdbc:oracle:thin:@vas1:1521:vas
corpsms.db_username=vas
corpsms.db_password=freevas
#mms.dbcpName =java:comp/env/jdbc/ptcwap_ptcgvas
mms.db_driver=oracle.jdbc.OracleDriver
mms.db_url=jdbc:oracle:thin:@vas1:1521:ptcgvas
mms.db_username=MMSOWN
mms.db_password=OWNMMS

修复方案:

版权声明:转载请注明来源 李旭敏@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-03-25 17:29

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无