漏洞概要 关注数(9) 关注此漏洞
缺陷编号: WooYun-2016-184230
漏洞标题: 中航证券某系统漏洞引发oa系统代码执行
相关厂商: 中航证券有限公司
漏洞作者: 白非白![中航证券某系统漏洞引发oa系统代码执行]()
提交时间: 2016-03-13 16:36
公开时间: 2016-04-29 15:05
漏洞类型: 文件上传导致任意代码执行
危害等级: 高
自评Rank: 15
漏洞状态: 厂商已经确认
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
Tags标签: 无
漏洞详情
披露状态:
2016-03-13: 细节已通知厂商并且等待厂商处理中
2016-03-15: 厂商已经确认,细节仅向厂商公开
2016-03-25: 细节向核心白帽子及相关领域专家公开
2016-04-04: 细节向普通白帽子公开
2016-04-14: 细节向实习白帽子公开
2016-04-29: 细节向公众公开
简要描述:
一个小漏洞引发的连锁。
由于存在防御,只能绕来绕去,最终执行jsp代码。
详细说明:
1.此系统会提示用户名是否正确,可以用于用户枚举,猜密码。
2.通过猜解,得到一部分弱口令用户,密码为1
登录此系统,泄漏内部信息,可以获取内部通讯录
3.浩天说只是登录暴力猜解是上不了首页的。于是继续深入测试,尝试使用此系统用户去登录中航证券的oa系统。
登录成功。
由于是泛微oa,根据 WooYun: 泛微某系统漏洞集合(不拿shell不是合格的白帽子) 的描述,登录后可以获取webshell,据说过程是这样的:
然而测试时发现,jsp文件并不能直接上传,会直接被服务器丢弃(有防火墙之类的防护)
4.继续测试绕过上传检测,通过尝试发现,txt,js,jsp,jSp等后缀均不能上传,cvs,csv,c等等后缀可以上传。继续尝试发现,可以将1.cvs.jsp.这个文件中最后一个"."在hex模式下修改为“00”.即可突破后缀名的限制。
浏览器访问看到上传成功了
5.文件名限制突破了,那么开心的丢个jsp一句话上去,不就shell了么?
然而,现实又一次打击了我,看来防护手段还对上传内容进行了过滤
继续开脑洞,通过测试发现,防护手段检测到import,exec等关键字就直接丢包了。
然而没有放弃的小白又一次通过在关键字后面加00字符的方式,绕过了内容检测。开心撒花(*^__^*)
6.但是还没高潮到1秒中,就又一次被现实给打击了。。。
访问webshell时,防火墙又出来捣乱了。猜测webshell的jsp代码在执行之前被拦截了。
7.于是开始寻找一款能绕过此防火墙的webshell。
在尝试了园长大大的各种shell中http://javaweb.org/?p=1627,发现了一款,可以通过jsp写任意文件(泛微oa的系统用户权限貌似都是root)。
写个文件看看
写入成功
但是还是没法获取webshell,只能证明jsp代码成功执行了。
继续开脑洞获取系统shell的话,我只能联想redis getsehll的方法,覆盖/root/.ssh/authorized_keys的方式来获取了。
扫了一下端口,遗憾的发现22号端口没开。
止步于此了。
漏洞证明:
成功写入任意文件
http://oa1.avicsec.com/1.txt
修复方案:
1.修复暴力猜解密码的漏洞
2.修复上传逻辑漏洞
版权声明:转载请注明来源 白非白@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2016-03-15 15:05
厂商回复:
已修复该漏洞,谢谢提供
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
评论