郑州图灵机器人OA权限控制不足可以上传任意文件(getshell / 远程桌面连接)

漏洞概要

缺陷编号:WooYun-2015-0129930

漏洞标题:郑州图灵机器人OA权限控制不足可以上传任意文件(getshell / 远程桌面连接)

相关厂商:turingrobot.com.cn

漏洞作者:霸气千秋

提交时间:2015-07-31 23:05

公开时间:2015-08-05 23:06

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-07-31: 厂商已查看当前漏洞内容,细节仅向厂商公开
2015-08-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

妹子考招教,让我给帮忙缴费, 给了个 IP:100 的地址网站地址, 顺手去掉端口, 发现是另一个网站, 就试着检测了下......果然有收获

详细说明:

妹子给了个地址 http://116.255.252.25:100 招教缴费. 习惯性的删掉端口, 访问提示 登录超时,请重新登录, 试了几个弱密码,登不上去, 有点迷茫了, 点开查看源码, 突然发现.....尼玛居然是

喜闻乐见之用工具替换那段 js 代码, 然后就看到了

随便点点可以看到

然后居然可以列目录.....页面权限控制的也有问题, 可以随便看然后在控制台输入

直接可以添加用户了

登录

账户密码都有了,各种弱口令 神马 00000 之类的然后每个帐号都试了试, 发现行政这个职位的帐号可以上传

看到同行的东东了了, 果断上传一个一句话拿出菜刀...(第一次用,其实我想问这个东西安全不, 怕有问题在虚拟机里边用)

查看配置文件

sa 权限,完美剩下的就是添加帐号,远程登录了遇到的问题是这台机器把远程端口改了,

获取远程端口,登录之

漏洞证明:

妹子给了个地址 http://116.255.252.25:100 招教缴费. 习惯性的删掉端口, 访问提示 登录超时,请重新登录, 试了几个弱密码,登不上去, 有点迷茫了, 点开查看源码, 突然发现.....尼玛居然是

喜闻乐见之用工具替换那段 js 代码, 然后就看到了

随便点点可以看到

然后居然可以列目录.....页面权限控制的也有问题, 可以随便看然后在控制台输入

直接可以添加用户了

登录

账户密码都有了,各种弱口令 神马 00000 之类的然后每个帐号都试了试, 发现行政这个职位的帐号可以上传

看到同行的东东了了, 果断上传一个一句话拿出菜刀...(第一次用,其实我想问这个东西安全不, 怕有问题在虚拟机里边用)

查看配置文件

sa 权限,完美剩下的就是添加帐号,远程登录了遇到的问题是这台机器把远程端口改了,

获取远程端口,登录之

修复方案:

修复权限, 不使用 sa 账户等等官网 http://www.turingrobot.com.cn/

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-08-0523:06

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Master 白帽子 | Rank:10 漏洞数:2)

    116.255一看就是景安。

  2. 2010-01-01 00:00 霸气千秋 白帽子 | Rank:15 漏洞数:1)

    @Master 经验丰富

  3. 2010-01-01 00:00 昌维 白帽子 | Rank:13 漏洞数:1)

    楼主又在卖萌了,还第一次用菜刀= =

  4. 2010-01-01 00:00 Jumbo 白帽子 | Rank:52 漏洞数:5)

    喜闻乐见之用工具替换那段 js 代码, 然后就看到了 啥意思

  5. 2010-01-01 00:00 Rainism 白帽子 | Rank:10 漏洞数:1)

    @Jumbo js前台跳转,不让跳转就到后台了

  6. 2010-01-01 00:00 开心一下1313 白帽子 | Rank:29 漏洞数:2)

    @霸气千秋 你更改远程端口,然后获取端口怎么玩的啊?

  7. 2010-01-01 00:00 开心一下1313 白帽子 | Rank:29 漏洞数:2)

    @霸气千秋 还想请教一下,替换js代码是怎么回事啊?

  8. 2010-01-01 00:00 霸气千秋 白帽子 | Rank:15 漏洞数:1)

    @开心一下1313 这里是有做权限管理的,如果没有权限,就直接输入一段 js, 跳转的登录页面, 但问题是, 他没有 response.end(), 导致登录之后才会出现的 html 同样输出了, 那我只要把那段 js 替换掉就可以了

  9. 2010-01-01 00:00 霸气千秋 白帽子 | Rank:15 漏洞数:1)

    @开心一下1313 服务器所有人改的端口....从注册表中读取端口就可以了

  10. 2010-01-01 00:00 乳酸君、 白帽子 | Rank:0 漏洞数:0)

    @霸气千秋 厂商已忽略666,还有内啥菜刀这种东西,渠道不正常的没给你留shell箱子就不错了

  11. 2010-01-01 00:00 茫茫涯 白帽子 | Rank:0 漏洞数:1)

    @霸气千秋 郑州的基友?加一下QQ被,我是郑州的 8_9_351687

  12. 2010-01-01 00:00 霸气千秋 白帽子 | Rank:15 漏洞数:1)

    @乳酸君、 不知道正常不.......所已在虚拟机里玩, 好像是这里下载的 [email protected]@com 反正各种报毒.....

  13. 2010-01-01 00:00 乳酸君、 白帽子 | Rank:0 漏洞数:0)

    @霸气千秋 除了sqlmap和穿山甲之类没见过报,别的杀软一开要死一样

  14. 2010-01-01 00:00 霸气千秋 白帽子 | Rank:15 漏洞数:1)

    @乳酸君、 23333, 反正我是玩玩, 无所谓啦,,,,,,,,,,