漏洞概要 关注数(1) 关注此漏洞
缺陷编号: WooYun-2016-180886
漏洞标题: 北京某域名服务商源码泄露+远程命令执行+数据库泄露
相关厂商: cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间: 2016-03-04 17:39
公开时间: 2016-04-18 17:39
漏洞类型: 命令执行
危害等级: 高
自评Rank: 20
漏洞状态: 未联系到厂商或者厂商积极忽略
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 远程命令执行
漏洞详情
披露状态:
2016-03-04: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-04-18: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
一开始只是源码泄露,慢慢深入发现还有远程命令执行,再深入就更不得了了
详细说明:
北京国旭网络科技有限公司,这是一家主做中文域名,无线网址的服务商,是领先的互联网应用服务提供商。
0x01:存在源码泄露站点:
官网站点:http://www.guoxuwang.cn/.svn/entries
登录站点:https://cp.guoxuwang.cn/.svn/entries
0x02:struct2远程执行漏洞
源码中并没有可利用的信息,从URL发现是使用了struct框架,试试struct2漏洞。
https://cp.guoxuwang.cn/user/forgetlogin.do
漏洞证明:
发现了上面两个漏洞,现在来证明一下危害性。
虽然不是root权限,继续深入发现,因为运维人员的一个错误,也导致这次渗透测试的成功。
0x01:先读取各种配置文件
数据库配置:/home/apps/tomcat/vhost-product/domainadmin/WEB-INF/classes/jdbc.properties
邮箱配置:/home/apps/tomcat/vhost-product/domainadmin/WEB-INF/classes/email.properties
0x02:登录邮箱
这个账号只是用来发送系统邮件,并没有什么价值的信息,但是可以查看所有员工,领导的邮箱账号,如果要在邮箱上进一步深入,可以记下邮箱账号,利用高级神经系统进行简单数据组合遍历测试(弱密码手测)。感觉是小厂商,就没有尝试(其实是因为懒)
0x03:反弹shell
读取了数据库配置,下一步就是连接数据库,先反弹个shell回来。
连接数据库,但是密码是加密的,解不出密码,
难道要下载class文件反编译,查看解密的方法。
0x04:查看有用信息
继续在服务器查找有用信息,功夫不负有心人,运维人员的一个错误,让我们可以绕过这条路。
在/home/apps/backup/mysql/targets/目录下发现数据库备份。
可以直接下载,在这里运维人员犯了一个错误,直接使用当前账号写定时备份脚本,这样我利用远程代码执行漏洞,getshell之后,直接行使当前用户的权限,下载备份。
从定时备份脚本中也可以获取数据库账号密码(只读权限)
0x05:备份还原
用户信息:
管理员信息:
密码是MD5加密,解开就可以登陆
附上管理员登录页面:https://cp.guoxuwang.cn/admin/
最后通过 .bash_history文件发现,运维人员上线代码是直接使用svn update /上线目录,导致目录存在svn文件。
测试到这里就没有再继续深入,并未破坏任何数据,下载的备份已经删除。
修复方案:
删除.svn相关文件,修复struct2远程代码执行漏洞,上线请用svn export导出,不要用当前账号来做备份操作,或者换个运维。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论