当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-069910

漏洞标题:Vclass教学互动平台存在三处任意文件上传+命令执行+SQL注入漏洞

相关厂商:国家互联网应急中心

漏洞作者: 路人甲

提交时间:2014-07-27 23:54

修复时间:2014-10-25 23:56

公开时间:2014-10-25 23:56

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-27: 细节已通知厂商并且等待厂商处理中
2014-07-31: 厂商已经确认,细节仅向厂商公开
2014-08-03: 细节向第三方安全合作伙伴开放
2014-09-24: 细节向核心白帽子及相关领域专家公开
2014-10-04: 细节向普通白帽子公开
2014-10-14: 细节向实习白帽子公开
2014-10-25: 细节向公众公开

简要描述:

漏洞打包提交,详细到底,不来首页木有爱啊!

详细说明:

网络上流传的vClass教学平台存在一处任意文件上传和struts2命令执行漏洞。
网上的流传介绍:

Vclass 是由北京师范大学现代教育技术研究所开发的网络教学平台,它是建立在通用 Internet/Intranet 基础之上的,专门为基于双向多媒体通信网络的远程教学而提供全面服务的软件系统,在丰富的学科资源的基础之上,学科教师根据教学要求与教学计划,并根据自己的教学特色,开发网络教学课件,借助于网络教学的一些支持工具,开展双向的远程教学,教学管理系统可以保障这种教学更加高效,也更加规范化。 Vclass 网络教学平台由四个系统组成:网上教学支持系统、网上教务管理系统、网上课程开发工具和网上教学资源管理系统四个子系统,


01.jpg


页面风格:

02.jpg


漏洞描述:
#1.任意文件上传,注册一个学生,进入之后好多文件上传地方。
#2.登录页面:login.do 存在命令执行漏洞。
#3.SQL注入漏洞,登录学生账号后在搜索框处存在SQL注入。

漏洞证明:

【声明:以下案例仅供CNVD、CNCERT测试使用,其他人不得利用或者恶意破坏,否则后果自负!】
#4.struts命令执行漏洞
TEST 1:

http://vclass.bhsedu.net.cn/login.do


03.jpg


TEST 2:

http://58.132.57.4:8088/login.do


04.jpg


TEST 3:

http://219.142.121.10:8081/login.do


05.jpg


TEST 4:

http://kys.nsjy.com/login.do


06.jpg


TEST 5:

http://vclass1.bhsedu.net.cn/login.do


08.jpg


#5.任意文件上传漏洞:
第一个上传地方:
先注册一个学生的账号,注册地址:

reg/create.do

然后登录进去,修改头像的地方:

/userInfo/userHead.do

上传一个经过处理的JSP脚本。建议使用IE测试。

09.jpg


然后你懂的:

10.jpg


11.jpg


第二个上上传的地方:进入课程讨论区,随便找一个帖子回复上传附件处可上场任意脚本。

13.jpg


接着审查元素看到一个doload的地址。

14.jpg


attachment/download.do?id=2s3z1CpTW


其实2s3z1CpTW就是文件的名称,加上后缀就是2s3z1CpTW.jsp,文件存放的为止在/upload/bbs目录下,则可以得到shell地址。

15.jpg


第三处上传的地方:
进入工具箱——我的小硬盘

16.jpg


继续审查元素得到一个下载地址:

17.jpg


依然跟上面一样,2s4-JRlHY就是文件的名称,加上后缀就是2s4-JRlHY.jsp,这里上传的文件在upload/disk下面,则可获得shell地址为:

18.jpg


还有很多任意文件上传地方,这里就不多提了。不测试下去了!
#6.SQL注入漏洞,登录后--进入课程---搜索处存在注入:

19.jpg


You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '% ' or o.description like ' % '%') and (diskfile0_.id in ('2KRjZQay8'))' at line 1


07.jpg


带入sqlmap跑一下试试,注入参数是keywords

12.jpg


20.jpg


好了,测试规测试,点到为止,不跑表了,此次测试发现该站点被人上传过shell,不过我已经帮站长清理了前人的木马,请大家不要破坏哟!尽快修复把!

修复方案:

好了,修补一下吧,所有上传的测试文件已经删除。软件的开发商是北京师范大学现代教育技术研究所,建议通知厂商修补。rank 20+

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-07-31 22:02

厂商回复:

CNVD确认并复现所述情况(上海交通大学后续协助补充部分结果),已经转由CNCERT直接通报给教育网应急组织——赛尔网络公司,抄报CCERT,建议其后续协调软件生产厂商所属高校管理单位处置。按通用软件漏洞和多个其他漏洞评分,rank 20

最新状态:

暂无