当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061282

漏洞标题:盈世信息科技OA系统SQL注入

相关厂商:Coremail盈世信息科技(北京)有限公司

漏洞作者: cmd

提交时间:2014-05-18 15:10

修复时间:2014-07-02 15:11

公开时间:2014-07-02 15:11

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-18: 细节已通知厂商并且等待厂商处理中
2014-05-22: 厂商已经确认,细节仅向厂商公开
2014-06-01: 细节向核心白帽子及相关领域专家公开
2014-06-11: 细节向普通白帽子公开
2014-06-21: 细节向实习白帽子公开
2014-07-02: 细节向公众公开

简要描述:

盈世信息科技OA系统SQL注入

详细说明:

http://218.107.63.241:82是OA系统
/interface/go.php没有过滤APP_UNIT参数,导致了SQL注入漏洞
$APP_UNIT = urldecode( $APP_UNIT );
$query = "select MEMBER_ID from CONNECT_CONFIG where MEMBER_NAME='".$APP_UNIT."'";
虽然开启了magic_quotes_gpc,单引号会被转义,但是因为他会先解码一遍,就可以用%2527来绕过GPC

漏洞证明:

用SQLMAP注入出数据信息
web application technology: Apache
back-end DBMS: MySQL 5.0
available databases [8]:
[*] BUS
[*] crscell
[*] information_schema
[*] mysql
[*] performance_schema
[*] TD_OA
[*] TD_OA_ARCHIVE
[*] TRAIN
虽然可以抓到很多人的密码hash,md5(unix)类型的,但是一个都破解不了,突然发现admin是用动态口令登录的。
研究了一下OA的代码,发现是可以绕过的,只要获取到admin帐号的key,就可以自己生成动态密码
而它刚好在数据库的secure_key表中,他有两个字段,KEY_SN和KEY_INFO,user表也有一个字段SECURE_KEY_SN,这样就找到了admin帐号的KEY_INFO信息。
利用这个key就可以生成动态密码了。

1.jpg


上面任意一个动态密码都可以登录

ok.jpg


登录成功

shell.jpg


最后再利用wooyun-2014-061251这个漏洞,成功拿到shell,因为是apache,直接系统权限。

修复方案:

过滤

版权声明:转载请注明来源 cmd@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-22 14:31

厂商回复:

谢谢,问题已转OA厂商确认并修复

最新状态:

暂无