当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-050381

漏洞标题:大汉版通JIS统一身份认证系统源码某处的信息泄漏可能影响大部分JIS

相关厂商:南京大汉网络有限公司

漏洞作者: wefgod

提交时间:2014-02-07 10:47

修复时间:2014-05-08 10:47

公开时间:2014-05-08 10:47

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-07: 细节已通知厂商并且等待厂商处理中
2014-02-09: 厂商已经确认,细节仅向厂商公开
2014-02-12: 细节向第三方安全合作伙伴开放
2014-04-05: 细节向核心白帽子及相关领域专家公开
2014-04-15: 细节向普通白帽子公开
2014-04-25: 细节向实习白帽子公开
2014-05-08: 细节向公众公开

简要描述:

有点奇葩但是已经遇到过两次的漏洞。不过不要因为我分类选了“信息泄漏”就觉得这个只是小漏洞……其实这货可能影响大了呢!而且里面的利用可以结合之前我提交的JIS的漏洞综合来利用,还是有点意思的

详细说明:

2.2.1版本的JIS中某个文件包含了JIS相关邮件找回密码的邮箱信息!包含邮箱用户名和邮箱密码!也就是说,有一部分版本的JIS,找回用户密码的功能所发出的邮件,都是利用该邮箱发出的!到底有什么危害?下面继续看

漏洞证明:

jis\check\findpwd\opr_validate.jsp

String sender =(new InternetAddress("统一身份认证系统").toString());
		  String fromEmail ="jis_hanweb@163.com";
		  String emailPwd = "123456";


太明显不过的弱口令了,jis_hanweb@163.com/123456
看了几套JIS的代码,里面都是用的这个来找回密码!为了证明这密码是正确的,登录163吧

image071.png


image073.png


http://management.ysx.gov.cn/jis/check\findpwd\opr_validate.jsp?userid=admin&mail=xxx@ccc.com
构造好正确的userid、和邮件地址(两个要对应的),直接访问会提示发送成功:
然后去到邮箱的“已发送”,可以看见刚才发的邮件,里面包含对应用户的密码!明文!

image076.png


结合之前提交过的jis/main/onlineuser.jsp这个越权漏洞(详细见 WooYun: 大汉版通JIS统一身份认证系统后台文件上传漏洞及两处越权漏洞 ),可以查看“某些账户”的邮箱

image078.png


从而导致进一步的……利用。
其它用户的密码截图:

image080.png


image081.png


但是注意,如果某个用户的邮箱是空的话,是无法发送邮件的,所以在已发送那也是找不到的。
不过如果真想修改某个用户的邮箱,也没什么问题,详细可以看 WooYun: 大汉版通JIS统一身份认证系统某处可任意修改用户密码
里面的某个参数是可以直接修改某个指定用户的邮箱的!如果把他改成我们的,会咋样呢?不知道哦

修复方案:

别看漏洞小就以为可以忽视了,别以为某些漏洞很简单就可以略过随意改改应付了事,其实有时候几个小漏洞结合起来,威力大着呢!

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-02-09 09:51

厂商回复:

非常感谢您对大汉产品的关注以及对产品安全方面的指正,涉及问题已在新版本中修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-02-07 13:02 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    观洞主提交漏洞的频率,估计只有大年初一、初二、初三过节,其他时间都在找洞啊!~~~不知提交到360裤带的jis漏洞价值几何,收入颇丰啊,你可要记得请吃饭啊!

  2. 2014-02-07 15:28 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @刺刺 360的那个啊,一般而已……反正不到最高的那个数……乌云这我最近连QB都没有得过啊

  3. 2014-02-07 15:54 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    @wefgod 洞主好样的!明天估计大汉就上班了,希望他们在惊讶之余,能够认真回报洞主的真心付出!(神马杯子,神马移动电源神马的就不要拿出来了!)

  4. 2014-02-07 19:53 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @刺刺 目前看乌云给的更多 哈哈

  5. 2014-02-07 20:35 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 360就2K最高,一般来说

  6. 2014-02-08 13:41 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xsser 大汉的哥们怎么还没来啊,1月30的那个都要到时间了,是不是邮件没发到。求乌云奖励快快发……都不知道12月开始的可以得吗

  7. 2014-02-09 12:44 | 老K先森 ( 路人 | Rank:29 漏洞数:14 | 你为何那么吊,你爸妈知道吗?)

    哟哟切克闹,表示等待续集。(本信息由ccav8频道为你提供)

  8. 2014-02-09 16:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @老K先森 还是看乌云君了,要不有的估计只敢丢360了

  9. 2014-02-09 18:52 | 霍大然 ( 普通白帽子 | Rank:1136 漏洞数:178 | W币花完了,刷分还是不刷?)

    @wefgod 你发了

  10. 2014-02-09 21:07 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @霍大然 东西没到手什么发了都没用啊……12月开始QB都还没拿过,发什么呢

  11. 2014-05-08 11:19 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    @wefgod 酷