漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-026581
漏洞标题:对苏宁易购一次完整的web检测过程(多图)
相关厂商:江苏苏宁易购电子商务有限公司
漏洞作者: HRay
提交时间:2013-06-22 14:53
修复时间:2013-08-06 14:53
公开时间:2013-08-06 14:53
漏洞类型:命令执行
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-22: 细节已通知厂商并且等待厂商处理中
2013-06-24: 厂商已经确认,细节仅向厂商公开
2013-07-04: 细节向核心白帽子及相关领域专家公开
2013-07-14: 细节向普通白帽子公开
2013-07-24: 细节向实习白帽子公开
2013-08-06: 细节向公众公开
简要描述:
无意中发现苏宁厂商的态度不错,对漏洞评价一般也很详细,于是对苏宁易购进行了一次简单的web安全检测,整个过程几乎全部截图,希望没泄露关键信息...
详细说明:
无意中发现苏宁厂商的态度不错,对漏洞评价一般也很详细,于是对苏宁易购进行了一次简单的web安全检测
首先通过google搜索site:suning.com inurl:login
目的是搜索可登陆的地方,看看能否找到一些敏感系统的入口
然后搜到了这个点
直接访问,发现竟然是已登录状态
推测google搜到的地址包含相关验证参数,抓包看了一下链接为
http://sop.suning.com/scs/NewSCSHomePage.jsp?login=Bdl8BJlQcA9UNnPxZ5Iu1NdBX36Awia7SzNsl0XkxlAj8gbDH6jvZt6d+QQXQZJe
由于这套系统默认是需要登录认证的
点击下方知识管理的一处链接,本来是想测试一下有无注入的,结果发现了一个新的地址
直接请求http://b2bkm.suning.cn:9080/跳转到了http://b2bkm.suning.cn:9080/restrictedHomePage/index.jsp 依然是登录状态
此时考虑兼容问题转战IE,但是IE访问竟然跳到了登陆页,此时猜测是referer的问题,得到证实,http头中无referer会302跳转
加了referer后,只需要添加http://即可绕过认证直接访问
之前发现一个上传下载功能很讨人喜欢,于是访问看了一下,可惜未发现利用点
后来随便点击,发现了熟悉的ewebeditor
查看源码即得到ewebeditor的路径,访问
http://b2bkm.suning.cn:9080/eWebEditor/admin/login.jsp看到后台界面
ewebeditor后台用默认口令admin/admin成功登陆,利用方式大家应该都很熟了,拷贝样式,上传类型添加jsp,然后预览样式,上传,通过上传管理功能可以看到成功传上去了
但是访问竟然是404,于是继续利用列目录那个漏洞
http://b2bkm.suning.cn:9080/eWebEditor/admin/upload.jsp?id=26&d_viewmode=list&dir=../发现有个filemanager
看看是个啥东西,点开一看,可以新建,上传文件,也可以改名删除操作,简直就是个后门功能
直接传一个jspshell,无任何拦截,并且为root权限
漏洞证明:
问题1:sop.suning.com访问认证缺陷
问题2:b2bkm.suning.cn:9080在http头部添加referer字段即可绕过认证
问题3:ewebeditor编辑器综合问题(后台默认口令,列目录)
问题4:filemanager-后门一样的存在
修复方案:
问题1:如果一定需要一个添加可直接访问的字段,建议增加时效性,并且用post方式提交
问题2:完善验证流程
问题3:删除默认后台及列目录功能,必要保留的话建议登陆文件改名并且修改默认口令
问题4:这个没啥说的,最好直接删除该功能,必要保留的话增加登陆验证并且限制上传文件类型
注:码了这么多字,截了这么多图,给加个精吧:)
版权声明:转载请注明来源 HRay@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2013-06-24 09:21
厂商回复:
感谢您对苏宁易购安全的关注。
最新状态:
暂无
漏洞评价:
评论
-
标题很类似额。。。。
( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)