当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148417

漏洞标题:懒人工作通OA系统(SqlServer版)两处无限制Getshell#可影响大量政企学校OA系统

相关厂商:岳阳云创信息科技有限公司

漏洞作者: U神

提交时间:2015-10-27 11:32

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-27: 细节已通知厂商并且等待厂商处理中
2015-10-30: 厂商已经确认,细节仅向厂商公开
2015-11-02: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-24: 细节向核心白帽子及相关领域专家公开
2016-01-03: 细节向普通白帽子公开
2016-01-13: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

影响至少几百家以上的政府、企业、集团、教育在用OA系统

详细说明:

影响至少几百家以上的政府、企业OA在使用该系统
开源OA系统:
http://**.**.**.**/TryDown.htm 官网下载
上传漏洞:

/Lesktop/sendfile.aspx  上传后文件位置测试代码上写了
第二处:
/Lesktop/upload.aspx   部分需要图片shell上传


大量案例证明:(案例已打码保护客户隐私)

mask 区域 
1.http://**.**.**/Lesktop/sendfile.aspx  官网demo_
2.http://**.**.**//Lesktop/sendfile.aspx  鸡泽县人口和计划生育局_
3.http://**.**.**//Lesktop/sendfile.aspx  将乐县司法综合服务大平台_
4.http://**.**.**//Lesktop/sendfile.aspx  广西动物卫生监督所_
5.http://**.**.**/Lesktop/sendfile.aspx  余姚辰茂河姆渡酒店_
*****aspx  北京理*****
6.http://**.**.**//Lesktop/sendfile.aspx  中航计量所_
7.http://**.**.**//Lesktop/sendfile.aspx  济宁广汇汽车销售服务有限公司_
*****ile.aspx  摩*****
8.http://**.**.**/Lesktop/sendfile.aspx 聚即道餐饮管理有限公司_
9.http://**.**.**//Lesktop/sendfile.aspx  渝中教研网_
10.http://**.**.**/Lesktop/sendfile.aspx  厦门夏商百货集团_
11.http://**.**.**//Lesktop/sendfile.aspx  _
12.://**.**.**/Lesktop/sendfile.aspx  _
13.http://**.**.**/Lesktop/sendfile.aspx  _
14.http://**.**.**//Lesktop/sendfile.aspx  _
15.http://**.**.**/Lesktop/sendfile.aspx _
16.http://**.**.**/Lesktop/sendfile.aspx  _
17.http://**.**.**//Lesktop/sendfile.aspx  _
18.http://**.**.**/Lesktop/sendfile.aspx   _
19.http://**.**.**/Lesktop/sendfile.aspx   _
20.http://**.**.**/Lesktop/sendfile.aspx  _
21.http://**.**.**/Lesktop/sendfile.aspx  _
22.://**.**.**//Lesktop/sendfile.aspx  _
23.http://**.**.**/Lesktop/sendfile.aspx  _
24.://**.**.**/Lesktop/sendfile.aspx _
25.http://**.**.**/Lesktop/sendfile.aspx   _
26.http://**.**.**/Lesktop/sendfile.aspx _
27.http://**.**.**/Lesktop/sendfile.aspx  _
28.://**.**.**/Lesktop/sendfile.aspx  _
29.://**.**.**/Lesktop/sendfile.aspx  _
30.http://**.**.**/Lesktop/sendfile.aspx  _
31.http://**.**.**/Lesktop/sendfile.aspx_
32.http://**.**.**/Lesktop/sendfile.aspx _
33.http://**.**.**/Lesktop/sendfile.aspx  -_
34.http://**.**.**/Lesktop/sendfile.aspx  _
35.http://**.**.**/Lesktop/sendfile.aspx  _
36.http://**.**.**/Lesktop/sendfile.aspx_
37.http://**.**.**//Lesktop/sendfile.aspx_
38.http://**.**.**//Lesktop/sendfile.aspx  _
39.http://**.**.**//Lesktop/sendfile.aspx  _
40.http://**.**.**//Lesktop/sendfile.aspx  _
41.http://**.**.**//Lesktop/sendfile.aspx_
42.http://**.**.**/Lesktop/sendfile.aspx_
43.://**.**.**/Lesktop/sendfile.aspx_
44.http://**.**.**//Lesktop/sendfile.aspx  _
45.://**.**.**//Lesktop/sendfile.aspx_
46.http://**.**.**//Lesktop/sendfile.aspx_
47.http://**.**.**//Lesktop/sendfile.aspx  _
48.://**.**.**//Lesktop/sendfile.aspx_
49.http://**.**.**//Lesktop/sendfile.aspx  _
**********
**********
**********
*****^^*****
**********
50.http://**.**.**/Lesktop/Upload.aspx官网demo_
51.http://**.**.**//Lesktop/Upload.aspx鸡泽县人口和计划生育局_
52.http://**.**.**//Lesktop/Upload.aspx将乐县司法综合服务大平台_
53.http://**.**.**//Lesktop/Upload.aspx广西动物卫生监督所_
54.http://**.**.**/Lesktop/Upload.aspx余姚辰茂河姆渡酒店_
*****aspx北京理^*****
55.http://**.**.**//Lesktop/Upload.aspx中航计量所_
56.http://**.**.**//Lesktop/Upload.aspx济宁广汇汽车销售服务有限公司_
*****oad.aspx摩^*****
57.http://**.**.**/Lesktop/sendfile.aspx 聚即道餐饮管理有限公司_
58.http://**.**.**//Lesktop/Upload.aspx渝中教研网_
59.http://**.**.**/Lesktop/Upload.aspx厦门夏商百货集团_
60.http://**.**.**//Lesktop/Upload.aspx_
61.://**.**.**/Lesktop/Upload.aspx_
62.http://**.**.**/Lesktop/Upload.aspx_
63.http://**.**.**//Lesktop/Upload.aspx_
64.http://**.**.**/Lesktop/sendfile.aspx _
65.http://**.**.**/Lesktop/Upload.aspx_
66.http://**.**.**//Lesktop/Upload.aspx_
67.http://**.**.**/Lesktop/Upload.aspx _
68.http://**.**.**/Lesktop/Upload.aspx _
69.http://**.**.**/Lesktop/Upload.aspx_
70.http://**.**.**/Lesktop/Upload.aspx_
71.://**.**.**//Lesktop/Upload.aspx_
72.http://**.**.**/Lesktop/Upload.aspx_
73.://**.**.**/Lesktop/sendfile.aspx _
74.http://**.**.**/Lesktop/Upload.aspx _
75.http://**.**.**/Lesktop/sendfile.aspx _
76.http://**.**.**/Lesktop/Upload.aspx_
77.://**.**.**/Lesktop/Upload.aspx_
78.://**.**.**/Lesktop/Upload.aspx_
79.http://**.**.**/Lesktop/Upload.aspx_
80.http://**.**.**/Lesktop/sendfile.aspx_
81.http://**.**.**/Lesktop/sendfile.aspx _
82.http://**.**.**/Lesktop/Upload.aspx-_
83.http://**.**.**/Lesktop/Upload.aspx_
84.http://**.**.**/Lesktop/Upload.aspx_
85.http://**.**.**/Lesktop/sendfile.aspx_
86.http://**.**.**//Lesktop/sendfile.aspx_
87.http://**.**.**//Lesktop/Upload.aspx_
88.http://**.**.**//Lesktop/Upload.aspx_
89.http://**.**.**//Lesktop/Upload.aspx_
90.http://**.**.**//Lesktop/sendfile.aspx_
91.http://**.**.**/Lesktop/sendfile.aspx_
92.://**.**.**/Lesktop/sendfile.aspx_
93.http://**.**.**//Lesktop/Upload.aspx_
94.://**.**.**//Lesktop/sendfile.aspx_
95.http://**.**.**//Lesktop/sendfile.aspx_
96.http://**.**.**//Lesktop/Upload.aspx_
97.://**.**.**//Lesktop/sendfile.aspx_
98.http://**.**.**//Lesktop/Upload.aspx

漏洞证明:

【免责声明:详细说明与漏洞证明为漏洞报告非利用方式,漏洞将由厂商认领或者提交给国家互联网应急中心进行通知厂商修复,本漏洞仅供证明漏洞存在未获取任何有效机密数据,案例仅供国家互联网应急中心测试使用,其它人不可利用该漏洞进行恶意破坏,否则后果自负,漏洞在厂商确认后均做打码处理,感谢您的支持与理解!】
第一处的测试:
表单上传返回文件名:

02.jpg


直接可获取shell:

03.jpg


看来是可以getserver的:

04.jpg


第二处的测试(打开页面直接上传)
这个有些是需要上传图片合成的shell就可以上传,但是大部分还是直接上传的,先上传一个后缀为jpg或者其它图片的,然后抓包,修改为asp、aspx,
以官方demo测试:

05.jpg


返回来了,没有返回的肯定是要上传图片合成的。

06.jpg


官方有狗吧?连不上shell,我日~~

07.jpg


管它了,正常漏洞一下就行吧~不多测试了

修复方案:

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-10-30 17:28

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

漏洞评价:

评价

  1. 2015-10-27 22:35 | 浩天 认证白帽子 ( 核心白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    仅一个上传点有效

  2. 2015-10-27 22:43 | U神 ( 普通白帽子 | Rank:1343 漏洞数:148 | 五个乌云币都不给我留着,兄弟们太小气了吧)

    @浩天 怎么可能,哪个无效?

  3. 2015-10-28 09:23 | 浩天 认证白帽子 ( 核心白帽子 | Rank:925 漏洞数:80 | 哈!躁起来!)

    另一处上传无法解析

  4. 2015-10-28 13:28 | U神 ( 普通白帽子 | Rank:1343 漏洞数:148 | 五个乌云币都不给我留着,兄弟们太小气了吧)

    @浩天 并没有,可能你测试的站点目测有什么waf吧?你试试这个:http://125.65.165.161:86/ 我测试了几个都可以shell