当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-026581

漏洞标题:对苏宁易购一次完整的web检测过程(多图)

相关厂商:江苏苏宁易购电子商务有限公司

漏洞作者: HRay

提交时间:2013-06-22 14:53

修复时间:2013-08-06 14:53

公开时间:2013-08-06 14:53

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-22: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经确认,细节仅向厂商公开
2013-07-04: 细节向核心白帽子及相关领域专家公开
2013-07-14: 细节向普通白帽子公开
2013-07-24: 细节向实习白帽子公开
2013-08-06: 细节向公众公开

简要描述:

无意中发现苏宁厂商的态度不错,对漏洞评价一般也很详细,于是对苏宁易购进行了一次简单的web安全检测,整个过程几乎全部截图,希望没泄露关键信息...

详细说明:

无意中发现苏宁厂商的态度不错,对漏洞评价一般也很详细,于是对苏宁易购进行了一次简单的web安全检测
首先通过google搜索site:suning.com inurl:login
目的是搜索可登陆的地方,看看能否找到一些敏感系统的入口
然后搜到了这个点

1.jpg


直接访问,发现竟然是已登录状态

suning1_google地址直接访问已登录.jpg


推测google搜到的地址包含相关验证参数,抓包看了一下链接为
http://sop.suning.com/scs/NewSCSHomePage.jsp?login=Bdl8BJlQcA9UNnPxZ5Iu1NdBX36Awia7SzNsl0XkxlAj8gbDH6jvZt6d+QQXQZJe
由于这套系统默认是需要登录认证的

2.jpg


点击下方知识管理的一处链接,本来是想测试一下有无注入的,结果发现了一个新的地址

suning2_发现新地址.jpg


直接请求http://b2bkm.suning.cn:9080/跳转到了http://b2bkm.suning.cn:9080/restrictedHomePage/index.jsp 依然是登录状态

suning3_兼容存在问题.jpg


此时考虑兼容问题转战IE,但是IE访问竟然跳到了登陆页,此时猜测是referer的问题,得到证实,http头中无referer会302跳转

suning4_无refer跳转验证.jpg


加了referer后,只需要添加http://即可绕过认证直接访问

suning5_有refer绕过验证.jpg


之前发现一个上传下载功能很讨人喜欢,于是访问看了一下,可惜未发现利用点

suning6_上传下载功能无利用点.jpg


后来随便点击,发现了熟悉的ewebeditor

suning7_发现eweb.jpg


查看源码即得到ewebeditor的路径,访问
http://b2bkm.suning.cn:9080/eWebEditor/admin/login.jsp看到后台界面
ewebeditor后台用默认口令admin/admin成功登陆,利用方式大家应该都很熟了,拷贝样式,上传类型添加jsp,然后预览样式,上传,通过上传管理功能可以看到成功传上去了

suning8_上传成功但访问404.jpg


但是访问竟然是404,于是继续利用列目录那个漏洞
http://b2bkm.suning.cn:9080/eWebEditor/admin/upload.jsp?id=26&d_viewmode=list&dir=../发现有个filemanager

suning9_列目录发现filemanager功能.jpg


看看是个啥东西,点开一看,可以新建,上传文件,也可以改名删除操作,简直就是个后门功能

suning10_filemanager.jpg


直接传一个jspshell,无任何拦截,并且为root权限

suning11_webshell.jpg

漏洞证明:

问题1:sop.suning.com访问认证缺陷

suning1_google地址直接访问已登录.jpg


问题2:b2bkm.suning.cn:9080在http头部添加referer字段即可绕过认证

suning5_有refer绕过验证.jpg


问题3:ewebeditor编辑器综合问题(后台默认口令,列目录)

suning9_列目录发现filemanager功能.jpg


问题4:filemanager-后门一样的存在

suning10_filemanager.jpg

修复方案:

问题1:如果一定需要一个添加可直接访问的字段,建议增加时效性,并且用post方式提交
问题2:完善验证流程
问题3:删除默认后台及列目录功能,必要保留的话建议登陆文件改名并且修改默认口令
问题4:这个没啥说的,最好直接删除该功能,必要保留的话增加登陆验证并且限制上传文件类型
注:码了这么多字,截了这么多图,给加个精吧:)

版权声明:转载请注明来源 HRay@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-06-24 09:21

厂商回复:

感谢您对苏宁易购安全的关注。

最新状态:

暂无