当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143569

漏洞标题:华润万家供应商服务系统XSS漏洞加系统越权(XSS可打到管理员)

相关厂商:华润E万家

漏洞作者: 纳米翡翠

提交时间:2015-09-26 13:32

修复时间:2015-11-14 09:16

公开时间:2015-11-14 09:16

漏洞类型:xss跨站脚本攻击

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-26: 细节已通知厂商并且等待厂商处理中
2015-09-30: 厂商已经确认,细节仅向厂商公开
2015-10-10: 细节向核心白帽子及相关领域专家公开
2015-10-20: 细节向普通白帽子公开
2015-10-30: 细节向实习白帽子公开
2015-11-14: 细节向公众公开

简要描述:

华润万家供应商服务系统XSS漏洞,可打到管理员
越权可查看任意用户信息

详细说明:

供应商系统:http://121.34.249.229
这个IP是遍历了一下主站的C段找到的(建议所有站前端放cdn,至少可以隐藏服务器真实IP )
进来之后点击下面的:
原OLE、华东、西北、华北、全国供应商、原华南大超/标超的用户请点本链接进行登陆

QQ截图20150926115008.jpg


看到这下面的提示了吧,直接有一个账号,而就是这个账号,直接进了系统
用户名19000016 密码123456

QQ截图20150926115100.jpg


QQ截图20150926115238.jpg


进来之后点击消息管理--邮件--写邮件

QQ截图20150926115354.jpg


可以给管理员发邮件,也可以给其它人发邮件
为了防止造成不良影响,这里给自己发个邮件,证明一下XSS的存在

QQ截图20150926115354.jpg


点击发送并抓包

QQ截图20150926115614.jpg


在收件箱看到刚给自己发送的邮件

QQ截图20150926120004.jpg


XSS已经成功执行

QQ截图20150926120108.jpg


由于cookie没有做httponly,所以直接拿过cookie即可登录成功

QQ截图20150926120209.jpg


那么只要给管理员发一封邮件,即可打到管理员的cookie,进而登录管理员账号
再附加几个越权漏洞,即通过遍历ID可查看,删除别人的邮件和消息
查看邮件其实是调用了:

http://121.34.249.229/scm/DaemonMail?operation=read&type=100&mailid=71267


这里只要遍历mailid即可查看所有的邮件

QQ截图20150926120829.jpg


还可以通过

http://121.34.249.229/scm/DaemonFileDownload?fileid=90374


遍历别人上传的文件

QQ截图20150926120924.jpg


通过以下两个链接先后执行可查看其它用户的企业信息

http://121.34.249.229/scm/DaemonSCMUserVender?operation=set&venderid=000016&buid=19&timestamp=1443240601506&


http://121.34.249.229/scm/DaemonSCMVenderAdmin?focus=venderdiy&operation=list


一定要两个先后执行,比如要查看000014用户的信息
先执行

http://121.34.249.229/scm/DaemonSCMUserVender?operation=set&venderid=000014&buid=19&timestamp=1443240601506&


再执行

http://121.34.249.229/scm/DaemonSCMVenderAdmin?focus=venderdiy&operation=list


即可看到该企业的信息

QQ截图20150926121349.jpg


QQ截图20150926121406.jpg

漏洞证明:

修复方案:

xss邮件已经删除

版权声明:转载请注明来源 纳米翡翠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-09-30 09:14

厂商回复:

感谢提交

最新状态:

暂无