漏洞标题 Yunda Express一个站命令直接执行内部网络 相关制造商 云达送货 漏洞作者 卡卡 提交时间 2016-04-28 09: 44 公共时间 2016-06-12 19: 20 漏洞类型 命令执行 危险等级 高 自我评估等级 20 漏洞状态 制造商已确认 标签标签 漏洞详细信息 漏洞网站 http://soa.dongputech.com: 7010 / 有一个weblogic反序列化漏洞 Cat /usr/local/nginx/conf/nginx.conf Worker_processes 4; Google_perftools_profiles/tmp/tcmalloc; 活动{ Worker_connections 8192; } Http { ＃1 ip Geo $ limited { 默认1; 127.0.0.1/32 0; 10.0.0.0/16 0; 10.3.0.0/16 0; 10.4.0.0/16 0; 10.10.0.0/16 0; 192.168.1.0/24 0; 192.168.105.0/24 0; 58.40.18.71/32 0; 218.83.242.38/32 0; 116.228.72.131 0; 222.72.45.34 0; 211.103.142.2/32 0; } 地图$ limited $ limit { 1 $ binary_remote_addr; 0''; } Limit_req_zone $ limit zone=1: 10m rate=300r/m; Limit_req区=一个突发=20; ＃2配置 包括mime.types; Default_type application/octet-stream; 发送文件; Keepalive_timeout 65; Server_tokens关闭; ＃3拉链 Gzip on; Gzip_min_length 4096; Gzip_buffers 4 8k; Gzip_types text/* text/css application/javascript application/x-javascript; Gzip_comp_level 1; Gzip_vary on; Gzip_http_version 1.1; ＃4服务器 服务器{ 听11113; Server_name localhost; 根/yd; Access_log/dev/null; Error_log/dev/null; 指数index.php; Error_page 500 502 503 504 /50x.html; 位置=/50x.html { 根html; } ＃5过滤器 if（$ request_uri~ *'（cost \（）|（concat \（）'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）] union [+ |（％20）]'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）]和[+ |（％20）]'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）]选择[+ |（％20）]'）{ 返回404; } 如果（$ query_string~ *'。* [\;'\ _＆lt; \＆gt;]。*'）{ 返回404; } ＃6比赛 位置〜\ .jsp $ { Proxy_set_header主机$ host: 11113; Proxy_set_header X-Real-IP $ remote_addr; Proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; Proxy_passhttp://127.0.0.1: 7001; } 位置〜\。（js | htm | html | xml | txt | jpg | gif | png | css | ico | xsl | swf | zip | exe | doc | docx | xls | xlsx）$ { 过期1小时; } ＃7状态 位置/nginx_status { Stub_status on; Access_log关闭; 允许10.0.2.0/24; 拒绝一切; } } } 系统附带nmap，可以直接扫描。设置袜子以进一步渗透内部网络，因此它不会深入。 漏洞证明： Cat /usr/local/nginx/conf/nginx.conf Worker_processes 4; Google_perftools_profiles/tmp/tcmalloc; 活动{ Worker_connections 8192; } Http { ＃1 ip Geo $ limited { 默认1; 127.0.0.1/32 0; 10.0.0.0/16 0; 10.3.0.0/16 0; 10.4.0.0/16 0; 10.10.0.0/16 0; 192.168.1.0/24 0; 192.168.105.0/24 0; 58.40.18.71/32 0; 218.83.242.38/32 0; 116.228.72.131 0; 222.72.45.34 0; 211.103.142.2/32 0; } 地图$ limited $ limit { 1 $ binary_remote_addr; 0''; } Limit_req_zone $ limit zone=1: 10m rate=300r/m; Limit_req区=一个突发=20; ＃2配置 包括mime.types; Default_type application/octet-stream; 发送文件; Keepalive_timeout 65; Server_tokens关闭; ＃3拉链 Gzip on; Gzip_min_length 4096; Gzip_buffers 4 8k; Gzip_types text/* text/css application/javascript application/x-javascript; Gzip_comp_level 1; Gzip_vary on; Gzip_http_version 1.1; ＃4服务器 服务器{ 听11113; Server_name localhost; 根/yd; Access_log/dev/null; Error_log/dev/null; 指数index.php; Error_page 500 502 503 504 /50x.html; 位置=/50x.html { 根html; } ＃5过滤器 if（$ request_uri~ *'（cost \（）|（concat \（）'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）] union [+ |（％20）]'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）]和[+ |（％20）]'）{ 返回404; } 如果（$ request_uri~ *'[+ |（％20）]选择[+ |（％20）]'）{ 返回404; } 如果（$ query_string~ *'。* [\;'\ _＆lt; \＆gt;]。*'）{ 返回404; } ＃6比赛 位置〜\ .jsp $ { Proxy_set_header主机$ host: 11113; Proxy_set_header X-Real-IP $ remote_addr; Proxy_set_header X-Forwarded-For $ proxy_add_x_forwarded_for; Proxy_passhttp://127.0.0.1: 7001; } 位置〜\。（js | htm | html | xml | txt | jpg | gif | png | css | ico | xsl | swf | zip | exe | doc | docx | xls | xlsx）$ { 过期1小时; } ＃7状态 位置/nginx_status { Stub_status on; Access_log关闭; 允许10.0.2.0/24; 拒绝一切; } } } 修理计划： 该程序知道 版权声明：请注明卡卡的来源@乌云