漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-061282
漏洞标题:盈世信息科技OA系统SQL注入
相关厂商:Coremail盈世信息科技(北京)有限公司
漏洞作者: cmd
提交时间:2014-05-18 15:10
修复时间:2014-07-02 15:11
公开时间:2014-07-02 15:11
漏洞类型:SQL注射漏洞
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-18: 细节已通知厂商并且等待厂商处理中
2014-05-22: 厂商已经确认,细节仅向厂商公开
2014-06-01: 细节向核心白帽子及相关领域专家公开
2014-06-11: 细节向普通白帽子公开
2014-06-21: 细节向实习白帽子公开
2014-07-02: 细节向公众公开
简要描述:
盈世信息科技OA系统SQL注入
详细说明:
http://218.107.63.241:82是OA系统
/interface/go.php没有过滤APP_UNIT参数,导致了SQL注入漏洞
$APP_UNIT = urldecode( $APP_UNIT );
$query = "select MEMBER_ID from CONNECT_CONFIG where MEMBER_NAME='".$APP_UNIT."'";
虽然开启了magic_quotes_gpc,单引号会被转义,但是因为他会先解码一遍,就可以用%2527来绕过GPC
漏洞证明:
用SQLMAP注入出数据信息
web application technology: Apache
back-end DBMS: MySQL 5.0
available databases [8]:
[*] BUS
[*] crscell
[*] information_schema
[*] mysql
[*] performance_schema
[*] TD_OA
[*] TD_OA_ARCHIVE
[*] TRAIN
虽然可以抓到很多人的密码hash,md5(unix)类型的,但是一个都破解不了,突然发现admin是用动态口令登录的。
研究了一下OA的代码,发现是可以绕过的,只要获取到admin帐号的key,就可以自己生成动态密码
而它刚好在数据库的secure_key表中,他有两个字段,KEY_SN和KEY_INFO,user表也有一个字段SECURE_KEY_SN,这样就找到了admin帐号的KEY_INFO信息。
利用这个key就可以生成动态密码了。
上面任意一个动态密码都可以登录
登录成功
最后再利用wooyun-2014-061251这个漏洞,成功拿到shell,因为是apache,直接系统权限。
修复方案:
过滤
版权声明:转载请注明来源 cmd@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-05-22 14:31
厂商回复:
谢谢,问题已转OA厂商确认并修复
最新状态:
暂无