漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-063623
漏洞标题:某通用型预警系统存在一系列问题(文件遍历读取/弱口令/可发预警短信、无线信息/越权/Getshell/SQL注入/信息泄露)
相关厂商:cncert国家互联网应急中心
漏洞作者: 袋鼠妈妈
提交时间:2014-06-05 09:27
修复时间:2014-09-03 09:28
公开时间:2014-09-03 09:28
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-06-05: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-03: 细节向公众公开
简要描述:
某领域通用型预警系统存在一系列问题(文件遍历读取/弱口令/可发预警短信、无线信息/越权/Getshell/SQL注入/信息泄露)
详细说明:
=====================================
软件技术支持:福建四创软件有限公司 网址: www.strongsoft.net
不少省份都有使用该软件,如:
刚开始以为只是目录遍历~~~~详细如下:
1.目录遍历,配置文件可任意读取。
这个还是和网站的配置,但是绝大多数都是可以遍历,以http://219.159.102.99:8088/为例。
遍历目录:
/data/
/news/
/public/
/config/
/UploadFile/
/Report/
/log/
……
2.弱口令
根据1.的目录遍历,看到/config/DataSetConfig%23.xml中
<connection provider="System.Data.SqlClient" string="Data Source=.;Initial Catalog=StrongMain;User
ID=strong;password=strong;">
测试登录用户/密码: strong/strong,登录成功.可实时查看各地水库、水闸、河网、海塘及气象预警信息
3.可发短信及无线信息(这个也是短信吧?),我测试时没有发送成功,直接点击发送时,发现参数userid、cusrtumno为空,但是接口应该是存在的,看到注释且该套程序配有SMSServer短信服务:
4.不登陆可越权访问:
/Warn/OuterWarnForMerger.aspx?hideBtn=30
/Warn/OuterWarnForMerger.aspx?hideBtn=10
……等页面
5.上传shell
(1)上传未做限制,
基础信息查询-行政信息基本情况-预案管理
(2)免登陆GetShell
通过抓包,直接在已知网址后面加上plan/FloodPlan/FloodPlanList.aspx?
adcd=331081001003000&filetype=156&parentID=0,即可上传任意后缀文件,getshell
6.其他信息泄漏:
(1)信息管理-基础数据上报-基础数据导出:
(2)部分网站存在视频服务器信息泄漏
7.SQL注入:
地址:http://shzh.wlfx.gov.cn/Plan/FloodPlan/FloodPlanList.aspx?readOnly=&adcd=331081001003000&filetype=156&r0.26239625721837556
漏洞证明:
修复方案:
版权声明:转载请注明来源 袋鼠妈妈@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:17
确认时间:2014-06-09 23:04
厂商回复:
CNVD确认并在多个政府网站实例上复现所述情况,已经由CNVD同步联系软件生产厂商福建四创公司,; 处置;同时根据测试实例,同步发浙江、广西等分中心处置案例。
最新状态:
暂无