漏洞详情

披露状态:

2014-03-31: 细节已通知厂商并且等待厂商处理中
2014-04-04: 厂商已经确认,细节仅向厂商公开
2014-04-14: 细节向核心白帽子及相关领域专家公开
2014-04-24: 细节向普通白帽子公开
2014-05-04: 细节向实习白帽子公开
2014-05-15: 细节向公众公开

简要描述:

中国移动某服务器运行多个服务,各种没听过的服务,目录浏览+各种弱口令,已Getshell

详细说明:

中国移动某个服务器:

221.176.36.5



先来看下开放端口吧:

a.jpg



1.经过测试,80、443端口:可列目录

b.jpg



2.看8083端口:弱口令 admin/123 (默认用户名密码)

OneCMDB Desktop,完全不晓得什么东西。。不过貌似很高大上的样子

c.jpg



d.jpg



e.jpg



对这东西不熟悉,,就没敢动

3.看8080端口,很熟悉嘛。。tomcat,可惜刚开始一直没猜出用户名密码(其实后面getshell之后,翻出tomcat的配置文件,发现其实也算是弱口令 manager/manager@ 密码就多加了个@。。。。)

f.jpg



可以看到已经有好多前人进来的痕迹了。。。某个前辈的shell

g.jpg



4.看4848端口,Glassfish让我看到了希望

h.jpg



又是弱口令 admin/admin

关于Glassfish的Getshell,乌云知识库早就有方法了http://drops.wooyun.org/tips/604,直接war马上去

i.jpg



j.jpg



漏洞证明:

故事还没讲完。。。

上面提到猜tomcat的弱口令没猜出来,去tomcat的配置文件看看

k.jpg



在GlassFish中发现了另一个高大上的东西“UniEAP”,不知道好不好吃,各种看不懂啊,未做任何访问限制,直接对外

l.jpg



继续翻啊翻,终于翻到了mysql数据库密码,又是弱口令。。。

m.jpg



可惜的是直接菜刀连Mysql,报找不到com.mysql.jdbc.Driver,各种尝试无解。。上传个mysql-connection-XXX.jar,又没敢重启tomcat。。

经大牛指点,可以直接在非交互式shell下使用mysql console!!!

echo "show databases;" | mysql -u root -p123456

n.jpg



echo "use nj_bcec2.0;select * from user_table limit 0,1;" | mysql -u root -p123456

o.jpg



就到这吧。。。

修复方案:

修改弱口令

版权声明:转载请注明来源 change@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-04-04 22:53

厂商回复:

CNVD确认所述情况,但实时测试未复现(可能与验证网络有关),已经将所述情况转报给中国移动集团公司。按未复现或历史测试结果评分,rank 20

最新状态:

暂无


漏洞评价: