漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0104590
漏洞标题:某事业单位建站系统通用型漏洞打包
相关厂商:厦门网格科技有限公司
漏洞作者: 路人甲
提交时间:2015-03-30 14:55
修复时间:2015-07-02 15:12
公开时间:2015-07-02 15:12
漏洞类型:非授权访问/权限绕过
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-30: 细节已通知厂商并且等待厂商处理中
2015-04-03: 厂商已经确认,细节仅向厂商公开
2015-04-06: 细节向第三方安全合作伙伴开放
2015-05-28: 细节向核心白帽子及相关领域专家公开
2015-06-07: 细节向普通白帽子公开
2015-06-17: 细节向实习白帽子公开
2015-07-02: 细节向公众公开
简要描述:
1#任意文件上传
2#目录遍历
3#新增用户页面未授权,访问造成的普通用户升级为管理员
详细说明:
厦门网格科技有限公司成立于2002年,经过几年的努力,公司已成为公共卫生行业、烟草商业行业、政府教育行业、公安系统等细分市场领域中的IT专业服务和应用软件解决方案提供商,解决方案涵盖“公共卫生行业应用”、“医疗行业IT信息化建设”、“RFID传感器(物联网)网络应用”、“全面资产资金管理应用”及“计算机网络信息增值服务”等多方面
案例:
厦门市医疗急救中心http://www.xm120.net/120news/
厦门市疾病预防控制中心http://www.xmcdc.com.cn/cdcnews/
厦门市思明区卫生局卫生监督所http://www.smwsjd.com/smwsjd/
厦门市湖里区卫生局卫生监督所http://www.hlwsjd.com/hlnews/
厦门市卫生监督信息网http://www.xmwsjd.com/wsjd/
以下以厦门市医疗急救中心为例
1#任意文件上传
该漏洞的产生原因是因为编辑器的不正确配置造成的,该系统使用了jsp版本的fckeditor编辑器,但上传时未对jsp、jspx文件进行过滤
http://www.xm120.net/120news//FCKeditor/_samples/default.html
fck编辑器上传未过滤jsp,可直接上传shell
一句话http://www.xm120.net//120news/UserFiles/Image/1.jsp 密码:
2#目录遍历
也是因为FCK,
http://www.xm120.net/120news/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../
3#新增用户页面未授权,访问造成的普通用户升级为管理员
http://www.xm120.net/120news/admin/user_add.jsp
好像所有文本框都必须填上,百度了个身份证
后台的登录页在这http://www.xm120.net/120news/admin/login.jsp
利用刚注册的帐号wooyun/123456登录
该站用户不用授权,部分站点需要(先登录创建的帐号,之后)到http://*/*/cd/right_right.jsp中给刚才新增的帐号赋权限,其实我们利用的就是一个登录的session,
图中可以看到该站没有right_right.jsp,所以也不用赋权限了。
直接对网站所有内容进行管理
还有一些未授权的,太多了,我举几个例子
http://*/*/cd/file_list.jsp
http://*/*/news/news_list.jsp
http://*/*/cd/right_right.jsp
操作简单,下面看看厦门市湖里区卫生局卫生监督所
http://www.hlwsjd.com/hlnews//FCKeditor/_samples/default.html
上传报504,不知是程序做了处理还是存在WAF,
jspx可以传,但是连纯文本都无法显示,怪怪的,考虑跨目录上传,也失败。
跳过上传,试一下新增用户http://www.hlwsjd.com/hlnews/admin/user_add.jsp
其实未授权的情况下,已经可以操作新闻,上传删除附件等等操作了
http://www.hlwsjd.com/hlnews/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
http://www.hlwsjd.com/hlnews/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../..
http://www.xmcdc.com.cn/cdcnews/FCKeditor/_samples/default.html
http://www.xmcdc.com.cn/cdcnews//FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../
简而言之,fck上传不一定全部有效,但目录遍历及未授权访问,绝对存在
漏洞证明:
http://www.xmwsjd.com/wsjd/FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../../../
这个站就把admin目录藏到了news文件夹里
http://www.xmwsjd.com/wsjd/news/admin/user_add.jsp
这里注册虽然成功但不能登录,估计登录口不是这个,通过未授权访问,
http://www.xmwsjd.com/wsjd/news/cd/right_sp.jsp
这里没看到注册的用户,应该不是同一个表
未授权访问的问题还在
http://www.xmwsjd.com/wsjd/gj2/gj_add.jsp
http://www.xmwsjd.com/wsjd/news/monitor/monitor_list.jsp
在news文件夹下又发现个注册,结果提示已注册,证明注册成功了耶,奇怪
好吧,通过http://www.xmwsjd.com/wsjd/news/news/cd/right_modifyUser.jsp这个页面,我发现了管理帐号的密码,之前新增的用户不知道跑哪去了~
打开这个页面点返回
此时可以新增和修改管理账户
修改时可见明文密码
然后登录之
最后试试上传
有做限制,跨目录试试
然后我发现同个tomcat下,还有很多站点,http://www.xmwsjd.com/xmwsjd/FCKeditor,这里可以上传,可以链接
http://www.xmwsjd.com/xmwsjd/wooyun.jsp 密码sq0zr
剩下的就不演示了
修复方案:
加强权限控制、fck修改配置
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-04-03 15:10
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给福建分中心,由其后续协调网站管理单位处置。
最新状态:
暂无