成都市教育局某站点命令执行导致getshell涉及到内网32台主机 | wooyun-2016-0199012

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2016-0199012

漏洞标题：

成都市教育局某站点命令执行导致getshell涉及到内网32台主机

漏洞详情

披露状态：

2016-04-21：细节已通知厂商并且等待厂商处理中
2016-04-25：厂商已经确认，细节仅向厂商公开
2016-05-05：细节向核心白帽子及相关领域专家公开
2016-05-15：细节向普通白帽子公开
2016-05-25：细节向实习白帽子公开
2016-06-09：细节向公众公开

简要描述：

成都市教育局某站点命令执行导致getshell涉及到内网32台主机

详细说明：

**.**.**.**:7001/UR/

端口7001存在反序列化命令执行
**.**.**.**:7001

成功拿到如下shell
**.**.**.**:7001/uddiexplorer/ss.jsp?o=index

探测下内网
**.**.**.**:7001/uddiexplorer/out.jsp

**.**.**.** >> >>RGOS HTTP-Server/1.1 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> Apache Tomcat>>Apache-Coyote/1.1 >>Success
**.**.**.** >> �ɶ��н�����װ�������� ��Эͬ�칫V3�� ������ЭͬV3��>>Apache/2.0.59 (Win32) PHP/5.2.5 >>Success
**.**.**.** >> 数据中心管理>>Apache-Coyote/1.1 >>Success
**.**.**.** >> IIS7>>Microsoft-IIS/7.5 >>Success
**.**.**.** >> �ɶ�����ͳ����>>Microsoft-IIS/6.0 >>Success
**.**.**.** >> >>Microsoft-IIS/6.0 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> IIS7>>Microsoft-IIS/7.0 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> >>Microsoft-IIS/6.0 >>Success
**.**.**.** >> >>Jetty(8.0.4.v20111024) >>Success
**.**.**.** >> >>Seeyon-Server/1.0 >>Success
**.**.**.** >> 成都市教育信息化应用平台>>Apache-Coyote/1.1 >>Success
**.**.**.** >> 成都市教育信息化应用平台>>Apache-Coyote/1.1 >>Success
**.**.**.** >> >>Apache/2.2.22 (Ubuntu) >>Success
**.**.**.** >> �ɶ��н�����Ϣ����������>>NetBox Version 2.8 Build 4128 >>Success
**.**.**.** >> >>Microsoft-IIS/7.5 >>Success
**.**.**.** >> 四川省中小学校图书馆(室)集群管理平台>>Microsoft-IIS/7.5 >>Success
**.**.**.**0 >> >>Microsoft-IIS/7.5 >>Success
**.**.**.**3 >> >>Apache-Coyote/1.1 >>Success
**.**.**.** >> >>nginx >>Success
**.**.**.** >> The current identity (NT AUTHORITY\NETWORK SERVICE) does not have write access to 'C:\WINDOWS\Microsoft.NET\Framework\v4.0.30128\Temporary ASP.NET Files'.>>Microsoft-IIS/6.0 >>Success
**.**.**.** >> 成都市公办幼儿园标准化建设提升工程项目管理GIS信息系统 -- 登录中心>>Microsoft-IIS/7.5 >>Success
**.**.**.** >> IIS7>>Microsoft-IIS/7.5 >>Success
**.**.**.**2 >> ����ͨѧҵˮƽ���ϲ���ϵͳ>>null >>Success
**.**.**.**3 >> ����ͨѧҵˮƽ���ϲ���ϵͳ>>null >>Success
**.**.**.**1 >> ����ͨѧҵˮƽ���ϲ���ϵͳ>>null >>Success
**.**.**.** >> >>Start HTTP-Server/1.0 >>Success
**.**.**.** >> Meeting Control System-Kedacom Videoconferencing System>>Apache/2.2.3 (CentOS) >>Success

漏洞证明：

探测下内网
**.**.**.**:7001/uddiexplorer/out.jsp

修复方案：

打补丁先

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-04-25 15:58

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT下发给四川分中心，由其后续协调网站管理单位处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

版权声明：转载请注明来源路人甲@乌云