运营商安全之中国联通某管理系统命令执行（多站管理账户泄漏）

2017年4月24日10:16:49评论267 views字数 232阅读0分46秒阅读模式

摘要

2016-04-22：细节已通知厂商并且等待厂商处理中
2016-04-26：厂商已经确认，细节仅向厂商公开
2016-05-06：细节向核心白帽子及相关领域专家公开
2016-05-16：细节向普通白帽子公开
2016-05-26：细节向实习白帽子公开
2016-06-10：细节向公众公开

漏洞概要关注数(11) 关注此漏洞

缺陷编号： WooYun-2016-199257

漏洞标题：运营商安全之中国联通某管理系统命令执行（多站管理账户泄漏）

漏洞作者：李旭敏

提交时间： 2016-04-22 15:30

公开时间： 2016-06-10 09:50

漏洞类型：命令执行

危害等级：高

自评Rank： 10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

2人收藏

漏洞详情

披露状态：

简要描述：

听说几何黑店来签到了，我也就出山了

详细说明：

code 区域

**.**.**.**:8080/whz/to_Login_login.html

存在struts2命令执行

对应的url地址是

code 区域

http://**.**.**.**:8080

code 区域

**.**.**.**:8080/whz/md5.jsp

传了webshell

可以直接执行命令进服务器啦

漏洞证明：

确实是联通的

通过查看3389的端口发现改为了63389，且连接进去提示终端用户过多，登不进去。

有个小技巧，远程连接服务时加个console即可绕过

**.**.**.**:63389/console

一般说windows找敏感信息的最好的方法就是去管理桌面。

然后找到了这个

一堆内网的账户密码还有服务器的登录账户密码。

作者还在写php嗯，感觉有注入的样子

code 区域

if ($action=="shen"){
  $id=$_GET["id"];
  $sql1="update wo_tuan set shen=1 where id='$id'";
  _query( $sql1 ) or die("SQL语句执行错误！");
  echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>"; 
 }
 if ($action=="noshen"){
  $id=$_GET["id"];
  $sql2="update wo_tuan set shen=0 where id='$id'";
  _query( $sql2 ) or die("SQL语句执行错误！");
  echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>"; 
 }
 if ($action=="tj"){
  $id=$_GET["id"];
  $sql1="update wo_tuan set tuijian=1 where id='$id'";
  _query( $sql1 ) or die("SQL语句执行错误！");
  echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>"; 
 }
 if ($action=="notj"){
  $id=$_GET["id"];
  $sql2="update wo_tuan set tuijian=0 where id='$id'";
  _query( $sql2 ) or die("SQL语句执行错误！");
  echo "<SCRIPT LANGUAGE=JavaScript>window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>"; 
 }
 
 if($action=="del"){
  $id=$_GET["id"];
  $sql="select * from wo_tuan where id='$id'";
  $query=mysql_query($sql) or die("SQl语句出错！！");
  if(!$rs=mysql_fetch_array($query)){
   echo "<SCRIPT LANGUAGE=JavaScript>alert ('您查看的信息不存在！^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>"; 
  }else{
   $sql="delete from wo_tuan where id='$id'";
   $query=mysql_query($sql) or die("SQl语句出错！！");
   echo "<SCRIPT LANGUAGE=JavaScript>alert ('删除成功！^_^');window.location.href='api_tuangou_admin.php?page={$page}{$myurl}';</script>";
  }
 }?>

24行，自行检查吧。。

mask 区域

*****smtp.host*****
 *****me=zjn*****
 *****glec@**.*****
 *****32100<*****

code 区域

mask 区域*****管理地址网站帐号 ***** ****** **.**.**.**/kns50um cnki cnki 2***** ***** ***** 图书***** *****dmin/admin_login.asp alan specte***** *****angbo#cqj***** *****网 **.**.**.**(www.**.**.**.**) www.**.***** ******.**.**/ess2.0/login.asp admini***** *****dmin_login.asp alan specte***** *****angbo#cqj***** *****/admin/admin_login.asp a***** *******.**/cqyx/admin_login.asp ala***** *****jky_xxzx liq***** *****zx **.**.**.** yb 136094***** *****.**.**/admin/admin_lo***** ***** ***** ***** ***** *****号：杨博/63602448 **.**.**.**/o***** *****.**) **.**.**.**/cqyx/admin_login.asp alan specter#crowxp_007 **.****** *****jky_xxzx liq***** *****//**.**.**.**/admin/Admin_login.asp y***** *****min_login.asp ya***** ******.**/admin/admin_login***** ***** ***** *******.**.**) **.**.**.**/cqyx/admin_login.asp ***** *****x/admin_login.asp crowxp sp***** *****xxzx yangbo ya***** *****blog/cqyx/admin_login.***** ******) **.**.**.**/cqyx/admin_login.asp yb c***** *****qyx/admin_login.asp 杨***** *****.**.**.**/cqxt/manage/login.asp***** *****83 ser-u***** *****nistrato*****

code 区域

<alias>CommProxool</alias>
     <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
     <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
     <driver-properties>
       <property name="user" value="zscomm_db2"/>
       <property name="password"  value="zsjlcomm_188db"/>
     </driver-properties>
     <maximum-connection-count>70</maximum-connection-count>
     <simultaneous-build-throttle>20</simultaneous-build-throttle>
     <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
   </proxool>
   
  <proxool>
     <alias>LocalProxoolHZ</alias>
     <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
     <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
     <driver-properties>
       <property name="user" value="u_zshz_db"/>
       <property name="password"  value="zsjl_188hzdb"/>
     </driver-properties>
     <maximum-connection-count>100</maximum-connection-count>
  <simultaneous-build-throttle>20</simultaneous-build-throttle>
     <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
   </proxool>
 
 
   <proxool>
     <alias>LocalProxool</alias>
     <driver-url>jdbc:oracle:thin:@**.**.**.**:1521:ORCL</driver-url>
     <driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
     <driver-properties>
       <property name="user" value="u_ltllyy_db"/>
       <property name="password"  value="u_ltllyy_db"/>
     </driver-properties>
     <maximum-connection-count>100</maximum-connection-count>
     <house-keeping-test-sql>select CURRENT_DATE</house-keeping-test-sql>
   </proxool>

修复方案：

版权声明：转载请注明来源李旭敏@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-26 09:45

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向中国联通集团公司通报,由其后续协调网站管理部门处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-04-22 16:20 | Dotaer ( 路人 | Rank:28 漏洞数:8 | 多学习，多挖洞！)

0

大牛是不是有神器啊？求分享

1# 回复此人

漏洞概要 关注数(11) 关注此漏洞

缺陷编号： WooYun-2016-199257

漏洞标题： 运营商安全之中国联通某管理系统命令执行（多站管理账户泄漏）

相关厂商： 中国联通

漏洞作者： 李旭敏

提交时间： 2016-04-22 15:30

公开时间： 2016-06-10 09:50

漏洞类型： 命令执行

危害等级： 高

自评Rank： 10

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 李旭敏@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(11) 关注此漏洞

漏洞标题：运营商安全之中国联通某管理系统命令执行（多站管理账户泄漏）

相关厂商：中国联通

漏洞作者：李旭敏

漏洞类型：命令执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

版权声明：转载请注明来源李旭敏@乌云

漏洞评价(共0人评价):

登陆后才能进行评分