当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120524

漏洞标题:金融小能手之北京农商银行(文件包含、XSS等)

相关厂商:北京农商银行

漏洞作者: 咚咚呛

提交时间:2015-06-15 02:09

修复时间:2015-08-03 17:44

公开时间:2015-08-03 17:44

漏洞类型:文件包含

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-15: 细节已通知厂商并且等待厂商处理中
2015-06-19: 厂商已经确认,细节仅向厂商公开
2015-06-29: 细节向核心白帽子及相关领域专家公开
2015-07-09: 细节向普通白帽子公开
2015-07-19: 细节向实习白帽子公开
2015-08-03: 细节向公众公开

简要描述:

太晚了,困了,测了差不多有一半,问题不少。

详细说明:

1、文件包含
说明:这个洞应该就是之前科蓝发生的文件包含通杀洞涉及N家银行,任意文件包含,不知道柯蓝确认修了没,一看参数CSIISignature就知道是科蓝公司的,讲下我发现的过程。
链接:https://ibs.bjrcb.com/per/login.do
参数:_viewReferer
默认是这个样子滴,如图:
_viewReferer=login&PasswordEncode=&_locale=zh_CN&CSIISignature=bjrcb&UserCert=&T=1&CertEnableFlag=NO&randKey=736383&UserId=1111111111&_tokenName=7bqq

1.jpg


观察参数viewReferer,它的值是login,猜想它是个文件,只是后缀被省去了后缀,试下%00

2.jpg


发现提示个这个,然后我试了多个截断字符,发现“%3f”,可以截断,并且确实是我猜测的在代码层加入后缀的,如图:

3.jpg


你会发现它去找文件了“找不到文件:/WEB-INF/zh_CN/login”,那么试试../是否能跨到上层目录呢,如图:

4.jpg


发现确实跨到上层目录去找文件了,那么是否能包含文件并解析呢,我试图去查找并包含web.xml文件,但是并没有找到,如图:

5.jpg


但是经过我测试这个包含确实存在,比如我找张图片,它可以很完美的包含并解析出来,如图:

6.jpg


2、XSS跨站脚本攻击
功能点:大额取现预约
连接:CashUseage赋值11 "/><script>alert(1)</script>
https://ibs.bjrcb.com/per/DrawAppointmentQueryDetail.do?AppJnlNo=55699785&AcNo=1111111&Amount=50000&RecordDate=2015-06-14&DrawDate=2015-06-20&Branch=Ììͨԕ֧ÐÐÁúÐË•ÖÀí´¦&AppStatus=1&UserName=xss&UserPhone=15910773439&UserMobilePhone=15910773439&AppSMSInform=0&CashUseage=1"/><script>alert(1)</script>

7.jpg


3、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/Current2Fixed02.do
参数:Remark赋值11 "/><script>alert(1)</script>
此处POST可以改为GET,把参数提上来就成:

8.jpg


9.jpg


4、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/CurrentSvFuDrawOpen02.do
参数:Remark 赋值11 "/><script>alert(1)</script>

10.jpg


POST改为GET,XXXX填入你登陆的账户:
https://ibs.bjrcb.com/per/CurrentSvFuDrawOpen02.do?_viewReferer=financing%2FCurrentSvFuDrawOpen01&RateSpan=2.22%25&AcNo=xxxxxxxx&Currency=01&Amount=50&SaveTime=Y01&AutoDeductFlag=1&Remark=1111%22%2F%3E%3Cscript%3Ealert%281%29%3C%2Fscript%3E

11.jpg


5、XSS跨站脚本攻击
功能点:活期转定期
连接:https://ibs.bjrcb.com/per/Current2Notice02.do
参数:Currency赋值01 "/><script>alert(1)</script>
POST改为GET,XXXXXXXXXX为对应账户号码:
https://ibs.bjrcb.com/per/Current2Notice02.do?_viewReferer=financing%2FCurrent2Notice01&AcNo=XXXXXXXXXX&Currency=01"/><script>alert(1)</script>&InformType=0330&Rate=0.96%25"&Amount=50000

12.jpg


6、XSS跨站脚本攻击
说明:这个XSS不同于上面,它直接把参数值带入到js代码中当参数运用,并且对传入的值进行了过滤,如图:

13.jpg


但是可以用”;“对js进行截断,使它执行js代码,并且它是在函数内,必须此函数调运才能执行,此处需点击确定后出发相应恶意js代码,如图:
https://ibs.bjrcb.com/per/OftenAcList.do?AcTransferType=111111;alert(1);

14.jpg


功能点:行内转账-常用收款人

漏洞证明:

详情看上面吧,挺全的!~
总结先不写呢,还没测完呢,太晚了分批上传。

修复方案:

文件包含那个漏洞,直接找柯蓝公司,让他们负责修复,这是个框架的问题,不仅登陆页面有包含,登陆后每个链接都是问题。
至于XSS漏洞,你们过滤的挺全的,还按照那个方案走没问题,只是把遗漏的补上就成。

版权声明:转载请注明来源 咚咚呛@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-19 17:42

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT向银行业信息化主管部门通报,由其后续协调网站管理单位处置.

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-19 17:49 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    你测试这些银行的得办多少张卡啊,无语

  2. 2015-08-04 09:28 | Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)

    @小龙 这个简单,大牛拖几个钓鱼网站的裤子就好了,为什么要无语?