当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130843

漏洞标题:新点网络协同办公系统7.0 V8.0 getshell(需要登录)

相关厂商:epoint.com.cn

漏洞作者: memetest

提交时间:2015-08-04 14:18

修复时间:2015-11-04 11:22

公开时间:2015-11-04 11:22

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-04: 细节已通知厂商并且等待厂商处理中
2015-08-06: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向第三方安全合作伙伴开放
2015-09-30: 细节向核心白帽子及相关领域专家公开
2015-10-10: 细节向普通白帽子公开
2015-10-20: 细节向实习白帽子公开
2015-11-04: 细节向公众公开

简要描述:

新点网络协同办公系统7.0 V8.0 getshell(需要登录)

详细说明:

乌云上有人提过一些上传getshell方式,如:
WooYun: 新点网络协同办公系统V7.0任意文件上传
WooYun: 某公共资源交易管理系统漏洞之任意文件上传(已getshell)
不过有些浏览器不兼容,不太好getshell,或者成功率不高。而在8.0中,厂商确实修复了乌云上所提交的那个上传漏洞。这次,我提交的通用是在7.0和8.0都通用的100%绕过文件名检查getshell,当然,肯定是前人提交的不一样。

~4BJFJ[L5O5~2W_@39U7X(F.png


案例:溧阳市住房和城乡建设协同办公系统 8.0
登录地址:
http://58.215.56.61/OA/Login.aspx

登录.jpg


获取所有用户列表(厂商没修复):
http://58.215.56.61/OA/ExcelExport/%E4%BA%BA%E5%91%98%E5%88%97%E8%A1%A8.xls

用户.png


使用burp,可以很轻易的跑出密码。
我们使用用户:lih 密码:11111登录。
然后找到如下上传地址:

上传.png


当然,7.0的也是在同样这个地方。
上传jpg后缀的asp一句话马,格式如下(注意看格式):

命名.png


因为其他格式上传有可能遭到拦截,如图:

文件检查.jpg


再使用burp抓包,修改后缀为cer(注意,要修改2处地方):

抓包.jpg


上传成功后,直接打开shell文件,即可看到地址。

地址.png


要成功连接shell,需要先用菜刀内置的浏览器登录一下系统,然后在连接,密码前面给过了。

内置浏览器.png


菜刀.png


下面的网站可以做验证:
http://61.183.36.24/oa8/ 8.0版本
http://61.132.114.180:8080/mail/login.aspx?loginid=%B0%AE%B5%C4&password=ad+&tj=%B5%C7+%C2%BD 7.0版本

客户.png


漏洞证明:

如上。。

修复方案:

厂商,说好的修复呢?你们的OA客户量还是蛮多的。。。。

版权声明:转载请注明来源 memetest@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-08-06 11:20

厂商回复:

已修补

最新状态:

暂无