中国电信某APP服务端远程命令执行漏洞该应用在豌豆荚应用商店下载量达数百万
在豌豆荚应用商店下载并安装"114商旅"这款应用。
打开后进行查询火车票的操作,抓包可以发现该应用对如下地址发起了一次HTTP请求:
http://e.118114.cn:8118/ShanglvTrain/query/queryTrainTicketJson.do该服务器存在Struts2远程命令执行漏洞。
上传文件,得到菜刀地址 http://e.118114.cn:8118/ShanglvTrain/cc.jsp 密码 wooyun
服务端应该有做均衡负载,whoami有时返回jiankong,有时返回root,但都是root权限。
仅作安全测试,没有深入。
修复方案:
及时打补丁;清理webshell。