当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0199257

漏洞标题:运营商安全之中国联通某管理系统命令执行(多站管理账户泄漏)

相关厂商:中国联通

漏洞作者: 李旭敏

提交时间:2016-04-22 15:30

修复时间:2016-06-10 09:50

公开时间:2016-06-10 09:50

漏洞类型:命令执行

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-22: 细节已通知厂商并且等待厂商处理中
2016-04-26: 厂商已经确认,细节仅向厂商公开
2016-05-06: 细节向核心白帽子及相关领域专家公开
2016-05-16: 细节向普通白帽子公开
2016-05-26: 细节向实习白帽子公开
2016-06-10: 细节向公众公开

简要描述:

听说几何黑店来签到了,我也就出山了

详细说明:

**.**.**.**:8080/whz/to_Login_login.html

存在struts2命令执行
对应的url地址是

http://**.**.**.**:8080


**.**.**.**:8080/whz/md5.jsp


传了webshell
可以直接执行命令进服务器啦

4295CE7D-55FB-43FA-9B56-5867E387F668.png


A2BC6F59-96DB-4926-896F-AB37824438EA.png

漏洞证明:

ACFA0506-5C63-47D6-8A3A-F95BE3ADD9FB.png


314E2F0F-6FD3-4ED6-AAB5-0436B2AF8E8B.png


确实是联通的
通过查看3389的端口发现改为了63389,且连接进去提示终端用户过多,登不进去。
有个小技巧,远程连接服务时加个console即可绕过
**.**.**.**:63389/console

06549D7C-E8D0-4CA5-AF51-76B4326B334C.png


一般说windows找敏感信息的最好的方法就是去管理桌面。
然后找到了这个

F572EDB7-D16B-4071-9833-C2E27C6205A1.png

一堆内网的账户密码还有服务器的登录账户密码。

716D14D1-F63D-4509-8B8E-70DCB8114C33.png


作者还在写php嗯,感觉有注入的样子

if ($action=="shen"){
	$id=$_GET["id"];
	$sql1="update wo_tuan set shen=1 where id='$id'";
	$query1=@mysql_query( $sql1 ) or die("SQL语句执行错误!");
	echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";	
}
if ($action=="noshen"){
	$id=$_GET["id"];
	$sql2="update wo_tuan set shen=0 where id='$id'";
	$query2=@mysql_query( $sql2 ) or die("SQL语句执行错误!");
	echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";	
}
if ($action=="tj"){
	$id=$_GET["id"];
	$sql1="update wo_tuan set tuijian=1 where id='$id'";
	$query1=@mysql_query( $sql1 ) or die("SQL语句执行错误!");
	echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";	
}
if ($action=="notj"){
	$id=$_GET["id"];
	$sql2="update wo_tuan set tuijian=0 where id='$id'";
	$query2=@mysql_query( $sql2 ) or die("SQL语句执行错误!");
	echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";	
}
if($action=="del"){
	$id=$_GET["id"];
	$sql="select * from wo_tuan where id='$id'";
	$query=mysql_query($sql) or die("SQl语句出错!!");
	if(!$rs=mysql_fetch_array($query)){
		echo "<SCRIPT LANGUAGE=JavaScript>alert ('您查看的信息不存在!^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";	
	}else{
		$sql="delete from wo_tuan where id='$id'";
		$query=mysql_query($sql) or die("SQl语句出错!!");
		echo "<SCRIPT LANGUAGE=JavaScript>alert ('删除成功!^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
	}
}?>


24行,自行检查吧。。

mask 区域 
*****smtp.host*****
*****me=zjn*****
*****glec@**.*****
*****32100&lt*****




mask 区域


*****^^管理地址	网站帐号	^*****
******	**.**.**.**/kns50um	cnki	cnki				2*****
*****				*****
*****70721@cqjky	图书^*****
*****dmin/admin_login.asp	alan	specte*****
*****angbo#cqj*****
*****网	**.**.**.**(www.**.**.**.**)	www.**.*****
******.**.**/ess2.0/login.asp	admini*****
*****dmin_login.asp	alan	specte*****
*****angbo#cqj*****
*****/admin/admin_login.asp	a*****
*******.**/cqyx/admin_login.asp	ala*****
*****jky_xxzx		liq*****
*****zx		**.**.**.**		yb	136094*****
*****.**.**/admin/admin_lo*****
*****				*****
*****				*****
*****^号:杨博/63602448	**.**.**.**/o*****
*****.**)	**.**.**.**/cqyx/admin_login.asp	alan	specter#crowxp_007	**.******
*****jky_xxzx		liq*****
*****//**.**.**.**/admin/Admin_login.asp	y*****
*****min_login.asp	ya*****
******.**/admin/admin_login*****
*****				*****
*******.**.**)	**.**.**.**/cqyx/admin_login.asp	*****
*****x/admin_login.asp	crowxp	sp*****
*****xxzx		yangbo	ya*****
*****blog/cqyx/admin_login.*****
******)	**.**.**.**/cqyx/admin_login.asp	yb	c*****
*****qyx/admin_login.asp	杨^*****
*****.**.**.**/cqxt/manage/login.asp*****
*****83			ser-u^*****
*****nistrato*****








<alias>CommProxool</alias>
    <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
    <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
    <driver-properties>
      <property name="user" value="zscomm_db2"/>
      <property name="password"  value="zsjlcomm_188db"/>
    </driver-properties>
    <maximum-connection-count>70</maximum-connection-count>
    <simultaneous-build-throttle>20</simultaneous-build-throttle>
    <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
  </proxool>
  
 <proxool>
    <alias>LocalProxoolHZ</alias>
    <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
    <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
    <driver-properties>
      <property name="user" value="u_zshz_db"/>
      <property name="password"  value="zsjl_188hzdb"/>
    </driver-properties>
    <maximum-connection-count>100</maximum-connection-count>
 <simultaneous-build-throttle>20</simultaneous-build-throttle>
    <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
  </proxool>
  <proxool>
    <alias>LocalProxool</alias>
    <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
    <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
    <driver-properties>
      <property name="user" value="u_ltllyy_db"/>
      <property name="password"  value="u_ltllyy_db"/>
    </driver-properties>
    <maximum-connection-count>100</maximum-connection-count>
    <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
  </proxool>


修复方案:

版权声明:转载请注明来源 李旭敏@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-26 09:45

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

最新状态:

暂无