汉王人脸识别系统命令执行可导致用户敏感信息泄露

漏洞概要

缺陷编号:WooYun-2013-035132

漏洞标题:汉王人脸识别系统命令执行可导致用户敏感信息泄露

相关厂商:汉王科技

漏洞作者:一只猿

提交时间:2013-08-26 12:03

公开时间:2013-10-08 12:03

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2013-08-26: 细节已通知厂商并且等待厂商处理中
2013-08-28: 厂商已经确认,细节仅向厂商公开
2013-09-07: 细节向核心白帽子及相关领域专家公开
2013-09-17: 细节向普通白帽子公开
2013-09-27: 细节向实习白帽子公开
2013-10-08: 细节向公众公开

简要描述:

又泄露了

详细说明:

陕西兰氏餐饮采用了汉王的人脸识别系统,存在struts漏洞,导致服务器沦陷。泄露大量敏感信息。怀疑服务器之前已被入侵过(有残留文件)。

漏洞证明:

漏洞地址:**.**.**.**/HWface/Login.action系统进行了过滤,上传的shell全部报废,使用了K8拉登哥哥的工具执行命令查看端口,尝试各个端口进行远程桌面连接,发现远程桌面端口已修改为20031

测试发现当前为system权限,添加用户提权

远程桌面上去

用的是北方通达信科的OA管理软件,mysql开了root账户

人脸识别系统的数据库配置文件

当然,在里面还发现了这个,QQ密保问题的截图

还有这个,行政主管的QQ号和密码

查一下看看是不是,额,貌似已经离职

发现的还有更多的,QQ号和密码

额,还找到了数据库备份的sql文件

还有大量内网IP

当然,,还找到了这个,不知道是啥东东,不过看起来有点像肉鸡扫描的结果

来看看这个,看来我猜的没错,这台机器可能已被入侵,用来作为一台跳板机器抓鸡

还有这个,员工的资料

额,说明一下,我退出远程桌面之后就一直访问不上去了,不知道是不是服务器崩了。如果带来不便敬请谅解,我不是故意的。数据什么的我都没有下载到本地。远程桌面测试账户还在,请及时删除。

修复方案:

升级补丁

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2013-08-2821:02

厂商回复:

最新状态:

暂无

评价

  1. 2010-01-01 00:00 ppt 白帽子 | Rank:11 漏洞数:2)

    刷脸还可以命令执行,这是要长成啥样

  2. 2010-01-01 00:00 一只猿 白帽子 | Rank:421 漏洞数:49)

    @ppt -_-||

  3. 2010-01-01 00:00 熊猫 白帽子 | Rank:43 漏洞数:10)

    刷脸…

  4. 2010-01-01 00:00 0x12 白帽子 | Rank:4 漏洞数:1)

    -.-命令写脸上么。。。

  5. 2010-01-01 00:00 Black Angel 白帽子 | Rank:115 漏洞数:22)

    刷脸刷脸~ 洞主的脸已被记录,请速速移民,不然快递.