运营商安全之中国移动某海外业务命令执行（涉及多库）

2017年3月28日04:52:32评论360 views字数 227阅读0分45秒阅读模式

摘要

2016-03-22：细节已通知厂商并且等待厂商处理中
2016-03-25：厂商已经确认，细节仅向厂商公开
2016-04-04：细节向核心白帽子及相关领域专家公开
2016-04-14：细节向普通白帽子公开
2016-04-24：细节向实习白帽子公开
2016-05-09：细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-187540

漏洞标题：运营商安全之中国移动某海外业务命令执行（涉及多库）

漏洞作者：李旭敏

提交时间： 2016-03-22 02:20

公开时间： 2016-05-09 17:29

漏洞类型：命令执行

危害等级：高

自评Rank： 12

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

code 区域

https://**.**.**.**

code 区域

Whoami: WebPath: /app/smscorpoffer/v07/htdocs/html
 OS.Name: SunOS
 OS.Version: 5.10
 Java.Home: /usr/jdk/instances/jdk1.6.0/jre
 Java.Version: 1.6.0_16
 OS.arch: sparcv9
 User.Name: tomcat
 User.Home: /usr/local/jakarta
 User.Dir: /usr/local/jakarta
 Java.Class.Path: ./:/usr/java/lib/tools.jar:/usr/java/bin:/usr/java/lib:/u01/app/oracle/product/10.2/jdbc/lib/ojdbc14.jar:/u01/app/oracle/product/10.2/jdbc/lib/classes12.zip:/u01/app/oracle/product/10.2/jdbc/lib/nls_charset12.jar:/usr/j2ee/lib/j2ee.jar:/usr/local/jakarta/tomcat/bin/bootstrap.jar:/usr/local/jakarta/tomcat/bin/commons-logging-api.jar
 Java.IO.Tmpdir: /usr/local/jakarta/tomcat/temp

漏洞证明：

hosts文件

code 区域

#
 ::1 localhost 
 **.**.**.** localhost 
 **.**.**.**     ad
 **.**.**.**   vas1    game1 **.**.**.**
 **.**.**.**   vas3    **.**.**.**  loghost
 **.**.**.**  orgsms  **.**.**.**
 **.**.**.**  dsd     **.**.**.**
 **.**.**.**  corpsms     **.**.**.**
 **.**.**.**1  vasback1
 **.**.**.**04 test-vas3       test-**.**.**.**
 **.**.**.**14 test-**.**.**.**
 **.**.**.**15 test-**.**.**.**
 **.**.**.**00 itadmin01 log01
 **.**.**.**     hp01
 **.**.**.**     mis01
 **.**.**.**     mbs1
 **.**.**.**     mbs2
 **.**.**.**     mbs1-vip
 **.**.**.**     mbs2-vip
 **.**.**.**  hpmis     **.**.**.**
 **.**.**.**     gemprot
 **.**.**.**     gemprop

在网站的根目录下有个叫hi.jsp的文件，我起初以为是webshell，但神奇的是里面保存了数据库配置信息

code 区域

String driverClassName = "oracle.jdbc.driver.OracleDriver";
    String dbURL = "jdbc:oracle:thin:@dev2:1521:ptcdev2";
    String dbUser = "ptcwap";
    String dbPassword = "pawptc";
    Class.forName(driverClassName);

code 区域

#database connection
 dbcpName = java:comp/env/jdbc/debug_ptcwap_ptcgvas
 db_driver= oracle.jdbc.driver.OracleDriver
 db_url   = jdbc:oracle:thin:@dev2:1521:ptcdev2
 db_username = ptcmailer
 db_password = ptcmailer

code 区域

#database connection
 #corpsms.dbcpName =java:comp/env/jdbc/ptcwap_ptcgvas
 corpsms.db_driver=oracle.jdbc.OracleDriver
 corpsms.db_url=jdbc:oracle:thin:@vas1:1521:vas
 corpsms.db_username=vas
 corpsms.db_password=freevas
 
 #mms.dbcpName =java:comp/env/jdbc/ptcwap_ptcgvas
 mms.db_driver=oracle.jdbc.OracleDriver
 mms.db_url=jdbc:oracle:thin:@vas1:1521:ptcgvas
 mms.db_username=MMSOWN
 mms.db_password=OWNMMS

修复方案：

版权声明：转载请注明来源李旭敏@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-03-25 17:29

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT向中国移动集团公司通报,由其后续协调网站管理部门处置.

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2016-187540

漏洞标题： 运营商安全之中国移动某海外业务命令执行（涉及多库）

相关厂商： 中国移动

漏洞作者： 李旭敏

提交时间： 2016-03-22 02:20

公开时间： 2016-05-09 17:29

漏洞类型： 命令执行

危害等级： 高

自评Rank： 12

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

0人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 李旭敏@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(5) 关注此漏洞

漏洞标题：运营商安全之中国移动某海外业务命令执行（涉及多库）

相关厂商：中国移动

漏洞作者：李旭敏

漏洞类型：命令执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

版权声明：转载请注明来源李旭敏@乌云

漏洞评价(共0人评价):

登陆后才能进行评分