当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107858

漏洞标题:博华网龙信息安全一体机设计缺陷导致多个高危漏洞

相关厂商:博华网龙

漏洞作者: 路人甲

提交时间:2015-04-15 16:06

修复时间:2015-07-16 14:46

公开时间:2015-07-16 14:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-15: 细节已通知厂商并且等待厂商处理中
2015-04-17: 厂商已经确认,细节仅向厂商公开
2015-04-20: 细节向第三方安全合作伙伴开放
2015-06-11: 细节向核心白帽子及相关领域专家公开
2015-06-21: 细节向普通白帽子公开
2015-07-01: 细节向实习白帽子公开
2015-07-16: 细节向公众公开

简要描述:

博华网龙信息安全一体机设计缺陷导致多个高危漏洞,包括多处命令执行、多处文件上传、任意文件下载、网站任意配置修改/泄露等

详细说明:

通过下载的源码可知,该系统的每个文件里均有权限验证,代码类似

include_once ("i18n/Message.inc"); 
include_once ("pub/shcall.inc");
include_once ("pub/session.inc");
include_once ("pub/user.inc");
check_session();
checkLogin();
checkApproachUrl();


我们主要看这两个函数,check_session()、checkLogin()
check_session函数在/pub/session.inc

function check_session(){	
$sid = session_id();
$node = sess_getBySid($sid);
if(!$node){
toIndex();
return FALSE;
}
sess_reflash(getSessionTimeOut());
sess_changeLastAccessTime($sid);
return TRUE;
}


可以看出,该函数是验证session的,但是给函数直接通过 return false|true进行验证,这代码逻辑!!!,所以该函数可以直接绕过。
接下来再看看checkLogin函数,该函数在/pub/user.inc

function checkLogin(){
if (!session_is_registered('USER_NAME')) {
//header("location:/index.php");
pJsHead();
print "top.window.location = \"/index.php?key=loginAgain\"";
pJsButtom();
}
return TRUE;
}


同样该函数采用的是return true方式返回,或通过js跳转到index.php?key=loginAgain了,因此可可以轻松绕过。
001 多处命令执行
直接搜索exec system或其他只执行命令的函数即可发现多处可造成命令执行

1.png


002 多处任意文件上传

2.png


003 网站任意配置修改/泄露
通过对源代码的审计发现,该系统存在严重的架构缺陷,所有的配置都是通过修改xml文件完成的
而且这些xml均是保持在网站的目录(/xml/),可任意的下载浏览,如图

3.png


直接访问/xml/users.xml 该文件保存了用户的账号及密码的md5
http://223.146.68.23/xml/users.xml

4.png


5个案例:
http://223.146.68.23
http://222.244.38.192
http://223.151.193.96
http://222.242.191.219
http://222.241.149.84

漏洞证明:

禁用js成功登录后台或采用代理将如下代码替换掉,即可进入后台进行任意操作
(经测试没权限)

<script language="javascript">top.window.location='/index.php?key=loginAgain';</script><script language="javascript">top.window.location = "/index.php?key=loginAgain"</script>


6.png


修复方案:

exit

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-17 14:45

厂商回复:

CNVD未直接复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态:

暂无


漏洞评价:

评论