说好的机锋网getshell来了(再次影响机锋网主要业务)

admin
admin
admin
140862
文章
117
评论
2015年7月28日04:47:34评论345 views字数 242阅读0分48秒阅读模式
摘要

2014-11-02: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-17: 细节向公众公开

漏洞概要 关注数(22) 关注此漏洞

缺陷编号: WooYun-2014-81741

漏洞标题: 说好的机锋网getshell来了(再次影响机锋网主要业务)

相关厂商: 机锋网

漏洞作者: 鸟云厂商说好的机锋网getshell来了(再次影响机锋网主要业务)

提交时间: 2014-11-02 16:39

公开时间: 2014-12-17 16:40

漏洞类型: 命令执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: struts webshell 补丁不及时 webshell webshell

6人收藏

漏洞详情

披露状态:

2014-11-02: 细节已通知厂商并且等待厂商处理中
2014-11-02: 厂商已经确认,细节仅向厂商公开
2014-11-12: 细节向核心白帽子及相关领域专家公开
2014-11-22: 细节向普通白帽子公开
2014-12-02: 细节向实习白帽子公开
2014-12-17: 细节向公众公开

简要描述:

我的滑板鞋时尚时尚最时尚

详细说明:

#1 漏洞成因

捕捉到如下网址存在struts2命令执行漏洞,且可以成功利用

http://v5op.apk.gfan.com/index.action

WEB目录

/home/tomcat8088/webapps/ROOT/

直接GETSHELL,ROOT权限

说好的机锋网getshell来了(再次影响机锋网主要业务)

code 区域 
网站物理路径: /home/tomcat8088/webapps/ROOT/
 java.home: /usr/lib/jvm/java-6-sun-1.6.0.26/jre
 java.version: 1.6.0_26
 os.name: Linux
 os.arch: amd64
 os.version: 2.6.35-22-server
 user.name: root
 user.home: /root
 user.dir: /home/tomcat8088
 java.class.version: 50.0
 java.class.path: /home/tomcat8088/bin/bootstrap.jar
 java.library.path: /usr/lib/jvm/java-6-sun-1.6.0.26/jre/lib/amd64/server:/usr/lib/jvm/java-6-sun-1.6.0.26/jre/lib/amd64:/usr/lib/jvm/java-6-sun-1.6.0.26/jre/../lib/amd64:/usr/java/packages/lib/amd64:/usr/lib64:/lib64:/lib:/usr/lib
 file.separator: /
 path.separator: :
 java.vendor: Sun Microsystems Inc.
 java.vendor.url: http://java.sun.com/
 java.vm.specification.version: 1.0
 java.vm.specification.vendor: Sun Microsystems Inc.
 java.vm.specification.name: Java Virtual Machine Specification
 java.vm.version: 20.1-b02
 java.vm.name: Java HotSpot(TM) 64-Bit Server VM
 java.specification.version: 1.6
 java.specification.name: Java Platform API Specification
 java.io.tmpdir: /home/tomcat8088/temp

读取/root/下的mysql_history

code 区域 
CHANGE MASTER TO MASTER_HOST='10.*.*.163', MASTER_USER='r**l', MASTER_PASSWORD='A*****h', MASTER_LOG_FILE='mysql-bin.000672', MASTER_LOG_POS=536449400;
 start slave;

读取.bash_history

code 区域 
scp *.*.169:/home/weitong/software/replace.jar .

/backup/目录下有整个运营后台的源代码备份

说好的机锋网getshell来了(再次影响机锋网主要业务)

配置文件里找到cookie的加密方式和密钥

code 区域 
// Referenced classes of package com.gfan.appmarket.util:
 //   AES
 
 public class CookieUtil
 {
 
  public static final String COOKIE_NAME = "admin_passport";
  public static final String COOKIE_AES_KEY = "L9FMH******1jQv";
 
  public CookieUtil()
  {
  }

之前的数据库泄露漏洞,粗略看过一部分admin_user表。后台密码应该是加密存储在数据库中的。怎么进后台呢?

在对后台的测试中,我找到一个密码为123456的用户。但是只能登录,没有任何权限。

看了看工具提供的history,当中有一个跳转是从index.jsp到index.action。

就冲index.jsp下手,插入XSS代码。(所有登录用户在通过登录验证后必然通过这个页面跳转到后台)

cookie很快到手

说好的机锋网getshell来了(再次影响机锋网主要业务)

进入后台

说好的机锋网getshell来了(再次影响机锋网主要业务)

影响机锋网运营主要业务,谁的APP想被推荐请打我电话12345678901。

服务器信息:

code 区域 
Linux ubuntu181 2.6.35-22-server #33-Ubuntu SMP Sun Sep 19 20:48:58 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux
code 区域 
Distributor ID: Ubuntu
 Description: Ubuntu 12.04.4 LTS
 Release: 12.04
 Codename: precise

厂商请注意,这台服务器还存在bash漏洞。

code 区域 
[/home/tomcat8088/webapps/ROOT/]$ env x='() { :;}; echo vulnerable'  bash -c "echo this is a test"
 vulnerable
 this is a test

鉴于是root权限,提权---内网渗透---更多机器沦陷。对Linux提权还没那么熟练,测试到此为止。

漏洞证明:

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-11-02 19:17

厂商回复:

谢谢提交,修复中。。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-11-02 16:55 | Noxxx ( 普通白帽子 | Rank:720 漏洞数:60 )

    0

    回家的路上我情不自禁

  2. 2014-11-02 16:56 | zcy ( 实习白帽子 | Rank:93 漏洞数:15 )

    0

    大神你还穿滑板鞋了?

  3. 2014-11-02 19:17 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    0

    @Noxxx 摩擦摩擦

  4. 2014-11-02 20:11 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

    0

    摩擦 摩擦,在这光滑的地上摩擦,一步两步一步两步,一步一步似爪牙,似魔鬼的步伐

  5. 2014-11-02 20:52 | 小胖子 说好的机锋网getshell来了(再次影响机锋网主要业务) ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失,我羡慕你,但是我还是选择做...)

    0

    摩擦摩擦,摩擦摩擦, 的身上摩擦~

  6. 2014-11-02 23:09 | Debug0man ( 路人 | Rank:8 漏洞数:1 | 叽叽呗呗...)

    0

    我等了十年的滑板鞋,果断让我不淡定了。

  7. 2014-11-03 09:51 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    0

    似魔鬼的步伐,摩擦摩擦,在这光滑的地面摩擦。

  8. 2014-11-03 10:19 | websec80 ( 路人 | Rank:0 漏洞数:1 | 关注网络安全)

    0

    话说4月份我都已经getshell

  9. 2014-11-03 15:03 | Black Angel ( 普通白帽子 | Rank:165 漏洞数:36 | 最神奇的一群人,智慧低调又内敛,俗称马甲...)

    0

    @websec80 哟喂 牛逼得掉渣哟,

  10. 2014-12-17 18:46 | 老胖子 ( 路人 | Rank:0 漏洞数:3 )

    1

    niubi

  11. 2015-07-31 14:00 | 西西 ( 普通白帽子 | Rank:1074 漏洞数:281 | 工欲善其事,必先利其器。)

    0

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin