当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135251

漏洞标题:上海公交集团从目录遍历到控制4个内部系统35822员工信息

相关厂商:上海公交集团

漏洞作者: Aerfa21

提交时间:2015-08-21 12:01

修复时间:2015-10-05 19:48

公开时间:2015-10-05 19:48

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-21: 厂商已经确认,细节仅向厂商公开
2015-08-31: 细节向核心白帽子及相关领域专家公开
2015-09-10: 细节向普通白帽子公开
2015-09-20: 细节向实习白帽子公开
2015-10-05: 细节向公众公开

简要描述:

关注安全,关注基础设施(上次提交一部分漏洞的时候被审核猿无情拒绝,好吧,上海所有公交车旗下包括巴士一汽到六汽、宝山巴士、巴士电车、巴士新新、崇明巴士、金山巴士...,还说危害小且联系不到厂商),其实当时是因为系统不同,想连续来几发的,差点就打消了热情。

详细说明:

0x00 目录遍历漏洞——获取集团及旗下所有公司员工通信录(包括所在公司、部门、电话、分机、邮箱)


http://116.228.188.147:8484/Files/
http://116.228.188.147:8484/gcbase/
http://116.228.188.147:8484/gcportal/
http://116.228.188.147:8484/gcflow/
http://116.228.188.147:8484/webmamil/ ......


http://116.228.188.147:8484/images/bus/bmgz/yg02.gif  领导信息


2.png


http://116.228.188.147:8484/gcbase/components/addressbook/myAddressBook.jsp  公司内部通信录


3.png


http://116.228.188.147:8484/gcbase/components/addressbook/headquartersAddressBookList.jsp  可以直接查看集团总部通信录


4.png


0x01 暴力破解——获取巴士集团本部董事长洪任初的邮箱密码,可以凭借此权限浏览任意信息,非完全管理四个内部系统


随便找一处登陆点,例如http://116.228.188.147:8484/Login.do?state=processLogin  用户名:rchong   尝试诸多弱口令无解,无奈之下挂上3M小字典进行爆破成功


5.png


密码实在是太难猜了(我的字典里什么时候添加了1的?)  rchong:1 进入邮件系统


6.png


http://116.228.188.147:8484/bashi/jsp/index.jsp  rchong:1   办公平台管理系统


7.png


协同办公系统	http://116.228.188.147:8484/gcbase/   rchong:1


8.png


人力资源系统 http://116.228.188.149:8480/gcbase/index.jsp rchong:1


9.png


0x02 权限提升——前面只是获取了董事长的权限(虽然已经很大很大了,但是浏览一些系统和进行一些操作时还是会受到限制),于是就想办法获得管理员admin权限


使用董事长账号进入门户管理  http://116.228.188.149:8480/servlet/portal/admin/


10.png


管理员账号/密码(从密码来看很明显是第三方公司的人员,安全意识不足)  admin:gcsoft


11.png


0x03 admin在手泄露大量敏感信息——在职员工35822人、其他从业人员11517人、在册人员47339人、离职人员24869人、退休人员18049人:员工识别号、职号、姓名、出生日期、照片等泄露。当然还有合同,集团存储库!!


管理员 admin:gcsoft,从而再次登入人事信息系统(这是集团董事账号都没有权限做到的)


12.png


13.png


14.png


合同管理


15.png


组织机构


16.png


存储库  http://116.228.188.149:8480/gcportal/jsp/frame.jsp  资料备份、集团下所有公司的资料


17.png


信息量太大,就不继续截图。(仅浏览,未做任何破坏)

漏洞证明:

如上~

修复方案:

总结一下同一站上主要有如下四个大系统(人事..等系统不算在内):

http://116.228.188.147:8484/gcbase   协同办公系统
http://116.228.188.147:8484/gcportal 协同办公平台管理系统
http://116.228.188.147:8484/gcflow 协同采购系统
http://116.228.188.147:8484/webmail 国臣电子邮件系统


由此不难看出安全性太低,只能说全面加强安全建设,不是仅靠几个集成第三方就能做好的

版权声明:转载请注明来源 Aerfa21@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-08-21 19:47

厂商回复:

CNVD确认所述情况,已经转由CNCERT下发给上海分中心,由其后续协调网站管理单位处置。

最新状态:

暂无