中国南方电网某系统远程命令执行(内网|大量敏感信息)

编号170980
Urlhttp://www.wooyun.org/bug.php?action=view&id=170980
漏洞状态已交由第三方合作机构(广西网络与信息安全通报中心)处理
漏洞标题中国南方电网某系统远程命令执行(内网|大量敏感信息)
漏洞类型命令执行
厂商中国南方电网
白帽子路人甲
提交日期2016-01-18 22:39:00
公开日期2016-02-27 11:49:00
修复时间(not set)
确认时间2016-01-18 00:00:00
Confirm Spend0
漏洞标签
关注数0
收藏数0
白帽评级
白帽自评rank20
厂商评级
厂商评rank3
漏洞简介
中国南方电网某系统java反序列化远程命令执行漏洞。
漏洞细节

漏洞地址:**.**.**.**:80
首页地址
**.**.**.**/web

图片1.jpg


后台地址
**.**.**.**/console/login/LoginForm.jsp
话说这个平台还跟营销、邮件,用户互动挂钩,支付宝挂钩.......

POC

命令执行:
1、root权限

root.jpg


2、内网IP

图片2.jpg


图片3.jpg


图片4.jpg


moni     pts/2        Mon Jan 18 09:22 - 09:30  (00:08)     **.**.**.**
moni pts/0 Mon Jan 18 09:07 - 10:24 (01:16) **.**.**.**
moni pts/0 Fri Jan 15 15:51 - 15:52 (00:01) **.**.**.**
moni pts/0 Fri Jan 15 15:46 - 15:50 (00:03) **.**.**.**
moni pts/3 Thu Jan 14 20:34 - 20:34 (00:00) **.**.**.**


1  **.**.**.** (**.**.**.**)  0.456 ms  0.440 ms  0.426 ms
2 **.**.**.** (**.**.**.**) 0.947 ms 0.952 ms 1.849 ms
3 **.**.**.** (**.**.**.**) 3.579 ms 3.814 ms 4.018 ms
4 **.**.**.** (**.**.**.**) 1.971 ms 1.976 ms 1.920 ms
5 **.**.**.** (**.**.**.**) 3.936 ms 4.285 ms 4.249 ms
6 **.**.**.** (**.**.**.**) 4.546 ms 2.213 ms 2.197 ms
7 **.**.**.** (**.**.**.**) 4.598 ms **.**.**.** (**.**.**.**) 4.733 ms **.**.**.** (**.**.**.**) 4.654 ms
8 **.**.**.** (**.**.**.**) 25.626 ms **.**.**.** (**.**.**.**) 23.191 ms **.**.**.** (**.**.**.**) 23.841 ms
9 **.**.**.** (**.**.**.**) 24.445 ms 24.420 ms 24.385 ms
10 * * *
11 **.**.**.** (**.**.**.**) 17.609 ms **.**.**.** (**.**.**.**) 23.924 ms **.**.**.** (**.**.**.**) 21.088 ms
12 * * *
13 * * *


3、营销生产数据库

<scheduler-configure name="sg-data-agent-scheduler">
<!-- runServer 配置成运行的weblogic 服务器名称 BusinessSystem.Name
前面一部分要配置成网省的名称
OracleInstance.1
OracleInstance.2 ... 配置生产的Oracle应用服务器,参数
应用服务器地址信息从amber.Indy_App_Server取,要维护正确
-->
<!-- 运行申报的weblogic Name-->
<paramter name="runServer" value="mServer143_1" />
<!-- 申报的配置系统名称 -->
<paramter name="businessSystem.Name" value="河北电力公司营销系统重要数据" />
<!-- 营销系统最大用户数 -->
<paramter name="businessSystem.MaxUserNum" value="10000" />
<!-- 生产系统数据库配置 -->
<paramter name="oracleInstance.1" value="name=营销生产数据库1,home=/oracle/product/db/10.2,port=1521,sid=hbdlyx1,visitIPAddress=**.**.**.**" />
<paramter name="oracleInstance.2" value="name=营销生产数据库2,home=/oracle/product/db/10.2,port=1521,sid=hbdlyx2,visitIPAddress=**.**.**.**" />
<!-- 申报配置的XML的FTP完整上传路径格式 ftp://USER:[email protected]/path/fileName -->
<paramter name="uploadFtpUrl" value="ftp://nariims:[email protected]**.**.**.**


图片5.jpg

修复方案

厂商比我懂

状态信息 2016-01-18: 细节已通知厂商并且等待厂商处理中
2016-01-18: 厂商已经确认,细节仅向厂商公开
2016-01-28: 细节向核心白帽子及相关领域专家公开
2016-02-07: 细节向普通白帽子公开
2016-02-17: 细节向实习白帽子公开
2016-02-27: 细节向公众公开
厂商回复
回应信息危害等级:低漏洞Rank:3 确认时间:2016-01-18 23:25