当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0129930

漏洞标题:郑州图灵机器人OA权限控制不足可以上传任意文件(getshell / 远程桌面连接)

相关厂商:turingrobot.com.cn

漏洞作者: 霸气千秋

提交时间:2015-07-31 23:05

修复时间:2015-08-05 23:06

公开时间:2015-08-05 23:06

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-08-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

妹子考招教, 让我给帮忙缴费, 给了个 IP:100 的地址网站地址, 顺手去掉端口, 发现是另一个网站, 就试着检测了下......果然有收获

详细说明:

妹子给了个地址 http://116.255.252.25:100 招教缴费. 习惯性的删掉端口, 访问提示 登录超时,请重新登录, 试了几个弱密码,登不上去, 有点迷茫了, 点开查看源码, 突然发现.....尼玛居然是

5D9F9658-52BF-4E19-826A-3B02D8538C03.png


喜闻乐见之用工具替换那段 js 代码, 然后就看到了

QQ20150728-1@2x.png


随便点点可以看到

QQ20150728-2@2x.png


然后居然可以列目录.....
页面权限控制的也有问题, 可以随便看
然后在控制台输入

navTab.openTab('t', 'xingzhengbu/yuangongadd.aspx')


直接可以添加用户了

QQ20150728-3@2x.png


登录

QQ20150728-4@2x.png


账户密码都有了,
各种弱口令 神马 00000 之类的
然后每个帐号都试了试, 发现行政这个职位的帐号可以上传

QQ20150728-5@2x.png


看到同行的东东了了, 果断上传一个一句话
拿出菜刀...(第一次用,其实我想问这个东西安全不, 怕有问题在虚拟机里边用)

QQ20150728-6@2x.png


查看配置文件

QQ20150728-7@2x.png


sa 权限,完美
剩下的就是添加帐号,远程登录了
遇到的问题是这台机器把远程端口改了,

exec xp_cmdshell 'REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber'
go


获取远程端口,登录之

QQ20150728-8@2x.png


QQ20150728-9@2x.png


QQ20150728-10@2x.png


QQ20150728-11@2x.png


QQ20150728-12@2x.png


QQ20150728-13@2x.png

漏洞证明:

妹子给了个地址 http://116.255.252.25:100 招教缴费. 习惯性的删掉端口, 访问提示 登录超时,请重新登录, 试了几个弱密码,登不上去, 有点迷茫了, 点开查看源码, 突然发现.....尼玛居然是

5D9F9658-52BF-4E19-826A-3B02D8538C03.png


喜闻乐见之用工具替换那段 js 代码, 然后就看到了

QQ20150728-1@2x.png


随便点点可以看到

QQ20150728-2@2x.png


然后居然可以列目录.....
页面权限控制的也有问题, 可以随便看
然后在控制台输入

navTab.openTab('t', 'xingzhengbu/yuangongadd.aspx')


直接可以添加用户了

QQ20150728-3@2x.png


登录

QQ20150728-4@2x.png


账户密码都有了,
各种弱口令 神马 00000 之类的
然后每个帐号都试了试, 发现行政这个职位的帐号可以上传

QQ20150728-5@2x.png


看到同行的东东了了, 果断上传一个一句话
拿出菜刀...(第一次用,其实我想问这个东西安全不, 怕有问题在虚拟机里边用)

QQ20150728-6@2x.png


查看配置文件

QQ20150728-7@2x.png


sa 权限,完美
剩下的就是添加帐号,远程登录了
遇到的问题是这台机器把远程端口改了,

exec xp_cmdshell 'REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber'
go


获取远程端口,登录之

QQ20150728-8@2x.png


QQ20150728-9@2x.png


QQ20150728-10@2x.png


QQ20150728-11@2x.png


QQ20150728-12@2x.png


QQ20150728-13@2x.png

修复方案:

修复权限, 不使用 sa 账户等等
官网 http://www.turingrobot.com.cn/

版权声明:转载请注明来源 霸气千秋@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-05 23:06

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

漏洞评价:

评论

  1. 2015-08-01 12:18 | Master ( 路人 | Rank:29 漏洞数:10 )

    116.255一看就是景安。

  2. 2015-08-05 15:05 | 霸气千秋 ( 路人 | Rank:17 漏洞数:2 | 小白菜...)

    @Master 经验丰富

  3. 2015-08-05 23:20 | 昌维 ( 路人 | Rank:2 漏洞数:3 | QQ:867597730,百度贴吧ID:昌维001)

    楼主又在卖萌了,还第一次用菜刀= =

  4. 2015-08-06 00:08 | Jumbo ( 普通白帽子 | Rank:111 漏洞数:29 | 猫 - http://www.chinabaiker.com)

    喜闻乐见之用工具替换那段 js 代码, 然后就看到了 啥意思

  5. 2015-08-06 06:43 | Rainism ( 路人 | Rank:11 漏洞数:3 | hacking for fun)

    @Jumbo js前台跳转,不让跳转就到后台了

  6. 2015-08-06 08:29 | 开心一下1313 ( 实习白帽子 | Rank:63 漏洞数:20 | 喝口水,压压惊......)

    @霸气千秋 你更改远程端口,然后获取端口怎么玩的啊?

  7. 2015-08-06 08:32 | 开心一下1313 ( 实习白帽子 | Rank:63 漏洞数:20 | 喝口水,压压惊......)

    @霸气千秋 还想请教一下,替换js代码是怎么回事啊?

  8. 2015-08-06 14:33 | 霸气千秋 ( 路人 | Rank:17 漏洞数:2 | 小白菜...)

    @开心一下1313 这里是有做权限管理的,如果没有权限,就直接输入一段 js, 跳转的登录页面, 但问题是, 他没有 response.end(), 导致登录之后才会出现的 html 同样输出了, 那我只要把那段 js 替换掉就可以了

  9. 2015-08-06 14:34 | 霸气千秋 ( 路人 | Rank:17 漏洞数:2 | 小白菜...)

    @开心一下1313 服务器所有人改的端口....从注册表中读取端口就可以了

  10. 2015-08-06 15:24 | 乳酸君、 ( 路人 | Rank:8 漏洞数:2 | 看,漏洞)

    @霸气千秋 厂商已忽略666,还有内啥菜刀这种东西,渠道不正常的没给你留shell箱子就不错了

  11. 2015-08-06 15:56 | 茫茫涯 ( 路人 | Rank:0 漏洞数:1 | 郑州工作,从事网络安全工作和程序设计)

    @霸气千秋 郑州的基友?加一下QQ被,我是郑州的 8_9_351687

  12. 2015-08-06 16:52 | 霸气千秋 ( 路人 | Rank:17 漏洞数:2 | 小白菜...)

    @乳酸君、 不知道正常不.......所已在虚拟机里玩, 好像是这里下载的 www@caidaomei@com 反正各种报毒.....

  13. 2015-08-08 17:39 | 乳酸君、 ( 路人 | Rank:8 漏洞数:2 | 看,漏洞)

    @霸气千秋 除了sqlmap和穿山甲之类没见过报,别的杀软一开要死一样

  14. 2015-08-09 00:51 | 霸气千秋 ( 路人 | Rank:17 漏洞数:2 | 小白菜...)

    @乳酸君、 23333, 反正我是玩玩, 无所谓啦,,,,,,,,,,