博华网龙信息安全一体机设计缺陷导致多个高危漏洞

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107858

漏洞标题：博华网龙信息安全一体机设计缺陷导致多个高危漏洞

漏洞作者：路人甲

提交时间：2015-04-15 16:06

修复时间：2015-07-16 14:46

公开时间：2015-07-16 14:46

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-04-15：细节已通知厂商并且等待厂商处理中
2015-04-17：厂商已经确认，细节仅向厂商公开
2015-04-20：细节向第三方安全合作伙伴开放
2015-06-11：细节向核心白帽子及相关领域专家公开
2015-06-21：细节向普通白帽子公开
2015-07-01：细节向实习白帽子公开
2015-07-16：细节向公众公开

简要描述：

博华网龙信息安全一体机设计缺陷导致多个高危漏洞，包括多处命令执行、多处文件上传、任意文件下载、网站任意配置修改/泄露等

详细说明：

通过下载的源码可知，该系统的每个文件里均有权限验证，代码类似

include_once ("i18n/Message.inc"); 
include_once ("pub/shcall.inc");
include_once ("pub/session.inc");
include_once ("pub/user.inc");
check_session();
checkLogin();
checkApproachUrl();

我们主要看这两个函数，check_session()、checkLogin()
check_session函数在/pub/session.inc

function check_session(){	
	$sid = session_id();
	$node = sess_getBySid($sid);
	if(!$node){
		toIndex();
		return FALSE;	
	}
	sess_reflash(getSessionTimeOut());
	sess_changeLastAccessTime($sid);
	return TRUE;
}

可以看出，该函数是验证session的，但是给函数直接通过 return false|true进行验证，这代码逻辑！！！，所以该函数可以直接绕过。
接下来再看看checkLogin函数，该函数在/pub/user.inc

function checkLogin(){
	if (!session_is_registered('USER_NAME')) {
		//header("location:/index.php");
		pJsHead();
		print "top.window.location = \"/index.php?key=loginAgain\"";
		pJsButtom();
	}
	return TRUE;
}

同样该函数采用的是return true方式返回，或通过js跳转到index.php?key=loginAgain了，因此可可以轻松绕过。
001 多处命令执行
直接搜索exec system或其他只执行命令的函数即可发现多处可造成命令执行

002 多处任意文件上传

003 网站任意配置修改/泄露
通过对源代码的审计发现，该系统存在严重的架构缺陷，所有的配置都是通过修改xml文件完成的
而且这些xml均是保持在网站的目录（/xml/），可任意的下载浏览，如图

直接访问/xml/users.xml 该文件保存了用户的账号及密码的md5
http://223.146.68.23/xml/users.xml

5个案例：
http://223.146.68.23
http://222.244.38.192
http://223.151.193.96
http://222.242.191.219
http://222.241.149.84

漏洞证明：

禁用js成功登录后台或采用代理将如下代码替换掉，即可进入后台进行任意操作
(经测试没权限)

<script language="javascript">top.window.location='/index.php?key=loginAgain';</script><script language="javascript">top.window.location = "/index.php?key=loginAgain"</script>

修复方案：

exit

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2015-04-17 14:45

厂商回复：

CNVD未直接复现所述情况，已经由CNVD通过网站公开联系方式向网站管理单位通报。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107858

漏洞标题：博华网龙信息安全一体机设计缺陷导致多个高危漏洞

相关厂商：博华网龙

漏洞作者：路人甲

提交时间：2015-04-15 16:06

修复时间：2015-07-16 14:46

公开时间：2015-07-16 14:46

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0107858

漏洞标题：博华网龙信息安全一体机设计缺陷导致多个高危漏洞

相关厂商：博华网龙

漏洞作者： 路人甲

提交时间：2015-04-15 16:06

修复时间：2015-07-16 14:46

公开时间：2015-07-16 14:46

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0107858"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云