当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0142971

漏洞标题:某广播电视台信息化管理系统漏洞合集,可内网

相关厂商:cncert国家互联网应急中心

漏洞作者: 路人甲

提交时间:2015-09-24 23:35

修复时间:2015-11-13 10:20

公开时间:2015-11-13 10:20

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-29: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-10-09: 细节向核心白帽子及相关领域专家公开
2015-10-19: 细节向普通白帽子公开
2015-10-29: 细节向实习白帽子公开
2015-11-13: 细节向公众公开

简要描述:

某广播电视台信息化管理系统漏洞合集,源码下载、目录遍历、任意文件上传

详细说明:

山东广播电视台办公信息化管理系统(**.**.**.**:81/sdtv/);
问题1:源码下载
**.**.**.**:81/sdtv.rar

屏幕快照 2015-09-23 下午2.13.31.png


看下代码,部分敏感信息:
数据库:

// STORAGE
// DATABASE
define('SQL_DAOHANDLER', 'SQL/NccosDAO');
define('SQL_HOST', '**.**.**.**');
define('SQL_DBNAME', 'sdtv201407');
define('SQL_USERNAME', 'root');
define('SQL_PASSWORD', 'qtwglk[]6417');
define('SQL_CONNECTIONSTRING', 'mysql:dbname='.SQL_DBNAME.';host='.SQL_HOST);
define('SQL_TIMEOUT', 5);
define('SQL_PERSISTENT', false);
define('MAC_ADDRESS','Yzc0BiJLUCVIVAEcJnQdd3JLU1U=');
define('MAC_ENABLE',false);
// SLAVE DATABASE
define('SQL_SLV_ENABLED', false);
define('SQL_SLV_HOST', '**.**.**.**');
define('SQL_SLV_DBNAME', 'sdtv201407');
define('SQL_SLV_USERNAME', 'root');
define('SQL_SLV_PASSWORD', 'qtwglk[]6417');
if(in_array(strtoupper(PHP_OS), array('WINNT', 'WIN32', 'WINDOWS', 'WIN'))) {
	define('OA_SERVER_OS', 'windows');
} else {
	define('OA_SERVER_OS', 'linux');
}
define('FC_USER_ROOT', 'oa/users');
define('SMTP_MAIL_USER', 'firstchinalaw');
define('SMTP_MAIL_PASS', 'Gofor!1088');
//define('OA_ENABLE_DEBUG', false);
define('OPENOFFICE_ROOT', 'D:/Program Files/OpenOffice3');
define('PDF_CONVERT_ROOT', 'D:/VeryPDF');
define('OA_ENABLE_DEBUG', true);
//open meeting
define('OA_OPEN_MEETING_INTERFACE_URL', '**.**.**.**:5080/openmeetings/services/UserService');// Interface URL
define('OA_OPEN_MEETING_URL', '**.**.**.**:5080/openmeetings/');// Interface URL
define('OA_OPEN_MEETING_ADMIN_NAME', 'basebo'); //open meeting Administrator Name
define('OA_OPEN_MEETING_ADMIN_PWD', '123456'); //open meeting Administrator Password
define('OA_MSG_SMS_URL', 'http://**.**.**.**/OpenPlatform/OpenApi');//
define('OA_MSG_SMS_REPLY_URL', 'http://**.**.**.**/DataPlatform/DataApi');//To get SMS reply URL
define('OA_MSG_SMS_SENDONCE', 'sendOnce');//SMS single,group sending short message
define('OA_MSG_SMS_SENDBATCH', 'sendBatch');// One on one to send
define('OA_MSG_SMS_SENDPARAM', 'sendParam');// SMS interface dynamic parameters
define('OA_MSG_SMS_AC', '1001@500880530001');// SMS interface account
define('OA_MSG_SMS_AUTHKEY', '2DE7D0B9EFA5BF46E8C350FCF5B6C066');// SMS interface authentication key
define('OA_MSG_SMS_GETREPLY', 'getReply');//Through the interface to get back
define('OA_MSG_SMS_UID', '28726');
define('OA_MSG_SMS_PWD', '5c0pjf');
define('OA_MSG_MAIL_UID', 'firstchinalaw');
define('OA_MSG_MAIL_PWD', 'Gofor!1088');


2:目录遍历:

屏幕快照 2015-09-23 下午2.18.17.png


3:任意文件上传
在源码中多处可发现用户名(如log、配置文件等),系统未对登陆做任何限制,通过爆破进入系统。

屏幕快照 2015-09-23 下午2.22.32.png


在个人设置-头像设置-头像上传处上传后缀为.jpg的木马,抓包修改为.php。上传后的路径为
/nccos/users/用户名/files/木马

屏幕快照 2015-09-23 下午2.32.14.png


查看ip地址为内网地址,权限为system。

屏幕快照 2015-09-23 下午2.33.04.png


漏洞证明:

山东广播电视台办公信息化管理系统(**.**.**.**:81/sdtv/);
问题1:源码下载
**.**.**.**:81/sdtv.rar

屏幕快照 2015-09-23 下午2.13.31.png


看下代码,部分敏感信息:
数据库:

// STORAGE
// DATABASE
define('SQL_DAOHANDLER', 'SQL/NccosDAO');
define('SQL_HOST', '**.**.**.**');
define('SQL_DBNAME', 'sdtv201407');
define('SQL_USERNAME', 'root');
define('SQL_PASSWORD', 'qtwglk[]6417');
define('SQL_CONNECTIONSTRING', 'mysql:dbname='.SQL_DBNAME.';host='.SQL_HOST);
define('SQL_TIMEOUT', 5);
define('SQL_PERSISTENT', false);
define('MAC_ADDRESS','Yzc0BiJLUCVIVAEcJnQdd3JLU1U=');
define('MAC_ENABLE',false);
// SLAVE DATABASE
define('SQL_SLV_ENABLED', false);
define('SQL_SLV_HOST', '**.**.**.**');
define('SQL_SLV_DBNAME', 'sdtv201407');
define('SQL_SLV_USERNAME', 'root');
define('SQL_SLV_PASSWORD', 'qtwglk[]6417');
if(in_array(strtoupper(PHP_OS), array('WINNT', 'WIN32', 'WINDOWS', 'WIN'))) {
	define('OA_SERVER_OS', 'windows');
} else {
	define('OA_SERVER_OS', 'linux');
}
define('FC_USER_ROOT', 'oa/users');
define('SMTP_MAIL_USER', 'firstchinalaw');
define('SMTP_MAIL_PASS', 'Gofor!1088');
//define('OA_ENABLE_DEBUG', false);
define('OPENOFFICE_ROOT', 'D:/Program Files/OpenOffice3');
define('PDF_CONVERT_ROOT', 'D:/VeryPDF');
define('OA_ENABLE_DEBUG', true);
//open meeting
define('OA_OPEN_MEETING_INTERFACE_URL', '**.**.**.**:5080/openmeetings/services/UserService');// Interface URL
define('OA_OPEN_MEETING_URL', '**.**.**.**:5080/openmeetings/');// Interface URL
define('OA_OPEN_MEETING_ADMIN_NAME', 'basebo'); //open meeting Administrator Name
define('OA_OPEN_MEETING_ADMIN_PWD', '123456'); //open meeting Administrator Password
define('OA_MSG_SMS_URL', 'http://**.**.**.**/OpenPlatform/OpenApi');//
define('OA_MSG_SMS_REPLY_URL', 'http://**.**.**.**/DataPlatform/DataApi');//To get SMS reply URL
define('OA_MSG_SMS_SENDONCE', 'sendOnce');//SMS single,group sending short message
define('OA_MSG_SMS_SENDBATCH', 'sendBatch');// One on one to send
define('OA_MSG_SMS_SENDPARAM', 'sendParam');// SMS interface dynamic parameters
define('OA_MSG_SMS_AC', '1001@500880530001');// SMS interface account
define('OA_MSG_SMS_AUTHKEY', '2DE7D0B9EFA5BF46E8C350FCF5B6C066');// SMS interface authentication key
define('OA_MSG_SMS_GETREPLY', 'getReply');//Through the interface to get back
define('OA_MSG_SMS_UID', '28726');
define('OA_MSG_SMS_PWD', '5c0pjf');
define('OA_MSG_MAIL_UID', 'firstchinalaw');
define('OA_MSG_MAIL_PWD', 'Gofor!1088');


2:目录遍历:

屏幕快照 2015-09-23 下午2.18.17.png


3:任意文件上传
在源码中多处可发现用户名(如log、配置文件等),系统未对登陆做任何限制,通过爆破进入系统。

屏幕快照 2015-09-23 下午2.22.32.png


在个人设置-头像设置-头像上传处上传后缀为.jpg的木马,抓包修改为.php。上传后的路径为
/nccos/users/用户名/files/木马

屏幕快照 2015-09-23 下午2.32.14.png


查看ip地址为内网地址,权限为system。

屏幕快照 2015-09-23 下午2.33.04.png


修复方案:

你们懂得

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-09-29 10:18

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置.按多个风险点评分,rank 15

最新状态:

暂无