国内强大的Jeecms变形记,小小的xss变种到csrf在变种webshell(jeecms漏洞大集合)

漏洞概要

缺陷编号:WooYun-2012-016204

漏洞标题:国内强大的Jeecms变形记,小小的xss变种到csrf在变种webshell(jeecms漏洞大集合)

相关厂商:江西金磊科技发展有限公司

漏洞作者:shack2

提交时间:2012-12-21 10:09

公开时间:2013-02-02 10:09

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2012-12-21: 细节已通知厂商并且等待厂商处理中
2012-12-24: 厂商已经确认,细节仅向厂商公开
2012-12-27: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2013-02-17: 细节向核心白帽子及相关领域专家公开
2013-02-27: 细节向普通白帽子公开
2013-03-09: 细节向实习白帽子公开
2013-02-02: 细节向公众公开

简要描述:

特迎接世界末日的到来,今晚花了4个小时去研究了一下jeecms,来看看一个xss如何变种webshell的
测试版本:jeecms-2012-sp1
官网:http://www.jeecms.comjeecms这个基于java开发的cms系统无比强大,现在已开源,有很多政府,学校,商业机构在使用,危害还是相当的大白帽子们,拿出你们的末日day,放出来吧

详细说明:

我们直接进入主题1.跨目录,跨权限,跨妹子到jeecms官网演示站后台,瞧一瞧,目测到跨目录问题直接浏览服务器根目录

由于家里网速较卡,而且官网演示站,很多功能被限制,我下载到本地搭建环境测试,继续任意文件下载

任意文件读取

2.这个我也不知道咋回事,我真的不知道,怎么可以修改别人的密码创建一个res管理员

只能查看管理自己这个账号

拦截数据库包修改将我自己这个管理员的编号id 8 修改成admin的id 1

发包,尼玛世界末日来了,我看见admin那妹子的账号了

昨天约妹子,和我吃个饭,不刁我的,看我改你密码,嘿嘿

登录一下妹子的账号admin

哈哈,成功进入,这下妹子,肯定要主动请我吃饭了,嘎嘎

好吧,我又在yy了,屌丝伤不起,活跃下气氛go on........3.我在思考我在思考,这些东西的利用条件都要知道后台管理账号密码,利用还是比较困难于是我想利用前段的留言评论,看能不能xss或者csrf最后测试了一下,都过滤了,我伤心了4.奇迹出现,大战即将开始到前台看了下,到前台,必看注册我还是在想xss妹子,最近找她太多,她烦我了,今天碰碰运气,看她理我不这回我才xss妹子藏在注册用户名上

果断burpsuite拦截数据,将xss妹子请出来

奇迹,这次xss妹子,出来见我了

xss妹子,还在后台分身和admin妹子开玩笑

xss妹子说躲在后面给我把admin妹子骗过来,我太兴奋了,看了一下长度100嘎嘎,天助我泡妹子耶

xss妹子说,光她一个人拿不下admin妹子,叫我喊csrf妹子来帮忙但是csrf妹子说了叫我摸清后面添加管理员或者,修改管理妹子的基本参数和提交方法(get,post)于是我去摸摸底找到了,添加管理的,基本参数,请求方法

于是为了进去后台拿下管理妹子,我写了一个javascript post提交,添加管理

哎,好久没写javascript,有点生疏了写好,上传到了我的博客,待会调用这里我就忽悠管理妹子,说我的密码忘了,还怎么怎么的,让他看会员管理,只要看了,就中招

成功打入妹子内部

5.拿到妹子整个系统控制权(webshell)前面我们已经知道后台有任意文件下载,任意文件读取其实这里还有任意文件上传,任意文件修改由于有人作怪,把所有jsp请求全拦截了所以我们要修改她的大脑web.xml这里以前也有基友发过http://**.**.**.**/bugs/wooyun-2010-04030开始利用模版管理跨目录,修改web.xml

去掉对jsp的过滤器

再就是突破文件上传这里模版功能很强大,上传jsp文件html后缀,然后改名成jsp后缀利用跨目录,上传菜刀马儿到根目录

菜刀连接我的妹子

ok,终于控制到了我的妹子了哎,重8点熬到现在,1点,5个小时只求妹子,没妹子,求rank

漏洞证明:

菜刀连接我的妹子

ok,终于控制到了我的妹子了哎,重8点熬到现在,1点,5个小时只求妹子,没妹子,求rank

修复方案:

jeecms开源精神很好,希望再接再厉做好网站安全建议在目录控制过滤掉../不让非跨目录读取跨站xss没有过滤好,用户名这个这个地方,先别说跨后台管理妹子,跨其他用户也很爽额

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2012-12-24 00:19

厂商回复:

CNVD根据白帽子提供的本地测试信息,尝试通过互联网方式远程测试,暂未在相关实例上复现。不过根据本地测试信息可以认定在有权限的情况下可以确认所述多种类型漏洞,已在21号由CNVD直接联系软件生产厂商。根据处置情况看是否通报相关用户。按需要用户认证,多种类型漏洞进行综合评判,rank 14

最新状态:

暂无

评价

  1. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    碉堡

  2. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    之前只停留在xss上、并没深入

  3. 2010-01-01 00:00 疯子 白帽子 | Rank:254 漏洞数:39)

    ...碉堡,马克

  4. 2010-01-01 00:00 gainover 白帽子 | Rank:1331 漏洞数:97)

    很多政府站在用。

  5. 2010-01-01 00:00 se55i0n 白帽子 | Rank:1483 漏洞数:156)

    碉堡

  6. 2010-01-01 00:00 Rookie 白帽子 | Rank:241 漏洞数:48)

    末日那天共享毛片 楼下你共享不

  7. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    你确定你的jsp能执行么?
    我也发过JEECMS: WooYun: JEECMS后台任意文件编辑漏洞and官方漏洞及拿shell
    去年大年三十拿下了JEECMS主站和演示站。

  8. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    @园长 改web.xml,嘿嘿

  9. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @shack2 第一你有权限改XML么?第二你写了shell也没有任何作用。JEECMS我也研究过几天,全是freemarker。后来我也改了官方的web.XML。不过是需要重启TOMCAT的。后来他们技术电话联系了我了解了下。他们7、8人开发,技术实力和对安全的重视真的非常不错的。

  10. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    @园长 webx.xml可以改,tomcat重启确实需要,昨天测试的时候没重启,也行,估计是tomcat检测到webx.xml改变,自动重启了

  11. 2010-01-01 00:00 子墨 白帽子 | Rank:229 漏洞数:26)

    原来“园长”就是“随风.潜入夜”的马甲呀...

  12. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    @园长 jeecms的演示站是控制了权限的,我是下载的源码,本地搭建的测试环境

  13. 2010-01-01 00:00 tnt1200 白帽子 | Rank:54 漏洞数:7)

    mark一下

  14. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @子墨 三个马甲,换着用。哈哈

  15. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @shack2 需要配置了自动reload不然就需要重启的。

  16. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @shack2 说JEECMS变态是有依据的,他们的展示层的视图用的是FTL模版,而非传统的JSP。起来老早我就开始推崇freemarker了,直接一个Filter啪啪啪,所有的视图后缀换成HTML,然后在HTML里面写ftl的循环数据就出来了。感觉比php smarty先进些。哈哈

  17. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    @园长 确实很强,jeecms还是挺不错的一个java开源cms

  18. 2010-01-01 00:00 刺刺 白帽子 | Rank:516 漏洞数:42)

    凑个热闹,也下了个sp1看看,如果在后台登录的前提下,可以不用改人家的web.xml,或重启人家的tomcat,就可以运行jsp shell的。

  19. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    呢吗,现在懂java的这么多了,汗

  20. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    这个期待一下

  21. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    写的这么好 都没有人给个好评

  22. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    @possible 我是给了

  23. 2010-01-01 00:00 possible 白帽子 | Rank:296 漏洞数:31)

    @xsser 我记得我是第一个给的 呵呵

  24. 2010-01-01 00:00 刺刺 白帽子 | Rank:516 漏洞数:42)

    写得很好呀,给个好评;
    既然图1已经可以跨目录了,可以直接跨出jeecms的目录;
    在tomcat的webapps的目录里面新加一个应用的目录,这样就不需要改jeecms的web.xml了。和tomcat管理后台上传war木马比较类似,只不过这里需要你建目录,将war里面的文件一个个传上去。
    (我本地也是SP1版本,如测试有出入,请牛牛勿鄙视,我也彩笔一只)

  25. 2010-01-01 00:00 shack2 白帽子 | Rank:452 漏洞数:63)

    @刺刺 可以的

  26. 2010-01-01 00:00 园长 白帽子 | Rank:124 漏洞数:14)

    @刺刺 这思路非常不错,不过在这么做之前最好看下server.xml域名绑定哦亲。

  27. 2010-01-01 00:00 刺刺 白帽子 | Rank:516 漏洞数:42)

    @shack2 @园长 xss+csrf组合拳,那才是亮点,个人觉得在后台管理的伎俩再有变化也只不过是个窝里横,呵呵

  28. 2010-01-01 00:00 月清晖 白帽子 | Rank:9 漏洞数:1)

    只看到了好多妹子。全文亮点以“妹子”为线索,贯穿全文,首尾呼应,本文极具文采。

  29. 2010-01-01 00:00 Jesus 白帽子 | Rank:60 漏洞数:18)

    霸气。