漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-08834
漏洞标题:a.sop电子政务公共服务支撑与管理平台-在线直播系统任意文件上传漏洞
相关厂商:航天四创
漏洞作者: 刺刺
提交时间:2012-06-27 01:07
修复时间:2012-08-11 01:08
公开时间:2012-08-11 01:08
漏洞类型:任意文件遍历/下载
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-06-27: 细节已通知厂商并且等待厂商处理中
2012-06-27: 厂商已经确认,细节仅向厂商公开
2012-07-07: 细节向核心白帽子及相关领域专家公开
2012-07-17: 细节向普通白帽子公开
2012-07-27: 细节向实习白帽子公开
2012-08-11: 细节向公众公开
简要描述:
航天四创a.sop电子政务公共服务支撑与管理平台-在线访谈直播系统,存在任意文件文件上传的问题,比如上传jsp脚本,即可取得对应的控制权限。使用该套系统的单位有某国公安部、工信部、科协、民政部、国务院国有资产监督管理委员会等部委机关。如果发生厂商忽略,麻烦cert通知涉及单位,有的已经被XX过了。
详细说明:
1. 首先是在线直播的后台;比如:工信部的
http://zhibo.miit.gov.cn:8080/direct/displayLogin.do
这里存在默认口令,admin admin,有的版本没有改;
不过要是改了也没有关系;你可以使用经典的 1'or'1'='1 ,用户名和密码都是这就可以登入。进入以后,选择直播管理—
点击第一个直播主题“信息化与工业化融合成果展览会”
选择“直播管理者”,记录管理者的帐号和密码;
先退出。然后以刚才的帐号和密码,选择对应的主题,登录
登录进入,选择导播
选择“增加图片”,在新窗口中,右键属性,查看添加图片的具体link
比如此处的是:
http://zhibo.miit.gov.cn:8080/direct/manager/addpicture.jsp?menuid=45
在新窗口打开以上连接;
另存为本地html文件;打开编辑
随便改一个为jsp,将POST的action改为全地址;
修改完成,本地浏览器打开,可能有乱码,右键编码选择UTF-8编码;
浏览,选择jsp脚本,保存即可上传;
漏洞证明:
jsp脚本木马已经上传成功;
比如公安部的
其他的几个我就不测试了。
比如:
http://fangtan.sasac.gov.cn/direct/manager/addpicture.jsp?menuid=1
修复方案:
通过google搜索出来的在线直播的版本是2.0——4.0,只要可以打开的,几乎无一幸免。
从代码的角度讲,修补工作太多,我很怀疑航天四创的能力。
从用户的角度来说,大家又不是没有钱的单位,这套系统该停就停了吧。
(还是录制一个视频好,这个插图太麻烦了。)
版权声明:转载请注明来源 刺刺@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:19
确认时间:2012-06-27 02:00
厂商回复:
CNVD确认漏洞并复现所述情况,转由CNCERT国家中心上报国务院某信息安全协调机构处置。
对漏洞评分如下:
CVSS:(AV:R/AC:L/Au:NR/C:C/A:P/I:C/B:N) score:9.67(最高10分,高危)
即:远程攻击、攻击难度低、不需要用户认证,对机密性、完整性构成完全影响,对可用性构成部分影响。
技术难度系数:1.1 (多个漏洞)
影响危害系数:1.8(严重,涉及多个部委子站,构成业务运行安全风险)
CNVD综合评分:7.79*1.1*1.2=19.146
最新状态:
暂无