当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2015-0147693
漏洞标题:
中国联通浙江省某重要系统存在多个漏洞可影响内网安全(弱口令/SQL注入/Getshell)
相关厂商:
中国联通
漏洞作者:
Xmyth_夏洛克
提交时间:
2015-10-19 09:27
修复时间:
2015-12-07 09:54
公开时间:
2015-12-07 09:54
漏洞类型:
成功的入侵事件
危害等级:
自评Rank:
20
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2015-10-19: 细节已通知厂商并且等待厂商处理中
2015-10-23: 厂商已经确认,细节仅向厂商公开
2015-11-02: 细节向核心白帽子及相关领域专家公开
2015-11-12: 细节向普通白帽子公开
2015-11-22: 细节向实习白帽子公开
2015-12-07: 细节向公众公开

简要描述:

RT

详细说明:

URL:**.**.**.**/gnop/system/Login_logout.action
中国联通无线网路智能优化及业务分析系统

登陆页面.png


0x01弱口令
无验证码可爆破

爆破.jpg


登陆个权限比较大的账号,这个账号可能是权限最高的
可看全省工作人员账号信息,并修改密码

全省工作人员信息.png


可修改密码.png


监控全省业务信息

监控.png


gms覆盖评估表.png


工单管理

工单管理.png


片区管理

片区管理.jpg


全省考核指标

全省考核指标.png


数据管理

数据管理.png


小区话务管理

小区话务管理.png


质量监控等等

质量监控.jpg


0x02 sql注入一枚

注入页面.png


这个页面存在注入

**.**.**.**/gnot/servlet/BulletinServlet?method=getBulletinDetailPage&bulletin_id=4001


bulletin_id存在注入

存在注入点.jpg


DBA权限

dba.png


19个库

19个库.jpg


95个表

Database: NOP3
[95 tables]
+------------------------------+
| AAAA_TS_SJ                   |
| COMMON_TREE_NODE_RELATION    |
| COMMON_TREE_PROCEDURE        |
| CSGL_TREE_NODE               |
| CSGL_TREE_NODE_RELATION      |
| CSGL_TREE_USER               |
| CS_MODEL_NEW                 |
| CS_PARAM_NEW                 |
| EXP_FILE_NEW                 |
| EXP_FILE_SUB                 |
| EXP_FILE_SUB_TITLE           |
| EXP_RELATION                 |
| EXP_TREE_TYPE                |
| FORUMBBSX                    |
| FORUMBOARD                   |
| FORUMBOARDPERMISSION         |
| FORUMSETUP                   |
| FORUMTOPIC                   |
| FORUMTOPICTYPES              |
| FORUMUPFILE                  |
| FORUMUSER                    |
| FORUMUSERGROUPS              |
| GNO_CHECK_JWD                |
| GNO_URL_RECORD_TAB           |
| GNO_URL_RECORD_TAB1          |
| IMP_FILE                     |
| IMP_FILE_RECORD              |
| IMP_FILE_TITLE               |
| IMP_TITLE_CFG                |
| IMP_TOOLBAR                  |
| KH_DS_HO_SUCC_CELL_N         |
| KH_DS_SDCCH_CONG_CELL_N      |
| KH_DS_TCH_DROP_CELL_N        |
| KH_N_HO_SUCC_CELL_N          |
| KH_N_SDCCH_CONG_CELL_N       |
| KH_N_TCH_DROP_CELL_N         |
| KH_QS_HO_SUCC_CELL_N         |
| KH_QS_R_CONN_CELL_N          |
| KH_QS_SDCCH_CONG_CELL_N      |
| KH_QS_TCH_DROP_CELL_N        |
| KPI_FORMULA_DIY              |
| KPI_FORMULA_MODE             |
| REGION                       |
| RENDER_SETTING               |
| RENDER_SETTING_NEW           |
| SJN_DAY_FAC_ASSESS           |
| SJN_DAY_MRG_ASSESS           |
| SJN_PROV_ADJCELL             |
| SJN_PROV_ADJCELL_UPHIS       |
| SJN_PRO_BASECELL             |
| SJN_PRO_CELL_MODIFY          |
| SJN_PRO_REPEATER             |
| SJ_PRO_GROUP                 |
| SJ_PRO_GROUP_CELL            |
| TREE_NODE                    |
| TREE_NODE_RELATION           |
| UM2_PERMISSION               |
| UM2_PERMISSION_RELATION      |
| UM2_PERMISSION_RELATION_TEMP |
| UM2_PERMISSION_TEMP          |
| UM2_PRIVILEGE                |
| UM2_SESSIONID                |
| V2_BORDER_CELL               |
| V2_BORDER_CELL_HU            |
| V2_BORDER_CELL_HZ            |
| V2_BORDER_CELL_JH            |
| V2_BORDER_CELL_JX            |
| V2_BORDER_CELL_LS            |
| V2_BORDER_CELL_NB            |
| V2_BORDER_CELL_QZ            |
| V2_BORDER_CELL_SX            |
| V2_BORDER_CELL_TZ            |
| V2_BORDER_CELL_WZ            |
| V2_BORDER_CELL_ZS            |
| V_TS_POINT                   |
| WBF_BMTZ_DETAIL              |
| WG_ADJCELL_RENDER            |
| WG_BORDERADJ_RENDER          |
| WG_CELL_GROUP                |
| WG_CELL_GROUP_CELLS          |
| WG_CELL_GROUP_MAP            |
| WG_CM_PARAMS                 |
| WG_CM_RENDER                 |
| WG_CM_SIMRENDER              |
| WG_FREQ_RENDER               |
| WG_GRADE_RENDER              |
| WG_KPI_RENDER                |
| WG_KPI_RENDER_FUNC           |
| WG_MULTIKPI_RENDER           |
| WG_PARAM_RENDER              |
| WG_RENDER_SETTING            |
| WG_RENDER_SETTING_N          |
| WG_SDCCHNO_RENDER            |
| WG_TABLE_TIP                 |
| WG_TCHNO_RENDER              |
+------------------------------+

漏洞证明:

0x03 Struts2可入内网

Struts2证明.jpg


上传马

Struts2上传大马.png


shell地址

**.**.**.**/gnop/JspSpyJDK5.jsp


ip.jpg


端口情况.png


内网ip,端口转发

端口转发.png


添加用户

添加用户成功.png


可登陆远程桌面,为了不影响业务就不登陆了

登陆远程桌面.png


修复方案:

1.弱口令
2.sql注入参数过滤
3.升级框架

版权声明:转载请注明来源 Xmyth_夏洛克@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-10-23 09:53

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。

最新状态:

暂无