记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

东软UniEAP某jige通用漏洞打包

2014-10-24 00:10

以东软UniEAP为业务框架开发的如下系统:

inurl:siweb/login.do 估计还有一部分搜索不到,谷歌不能用啦,百度不权威啊!



某市失业保险个人网上查询系统

http://218.9.***.***:8082/siweb/

某市劳动保障书面审查网上申报和诚信等级查询系统

http://60.219.***.***:7001/siweb

某市机关事业养老保险单位网上申报与查询系统

http://218.9.***.***:8081/siweb

某市医疗工伤生育保险单位网上申报系统

某市人力资源和社会保障局网上申报系统

http://111.75.***.***:8001/siweb

某区社会保险事业局网上查询系统

http://***.***.gov.cn:8001/siweb/

等等

这个系统较为复杂,如果审核人员不好全部复现就直接丢给东软吧,他们的系统他们自己最了解啦!

存在一些通用的漏洞和问题,如下:

问题一.存在通用的管理员账户

问题二:越权,普通用户权限登录系统后可以读取网站目录下任意文件,普通用户即可访问报表生成组件

问题三:SQL注入

问题四:验证码没有强制刷新

漏洞证明:

本次证明演示系统为http://111.75.***.***:8001/siweb



问题一

证明:

1.PNG



admin/1

se_admin/1

lbn/1

yinkun/1

查看管理员处显示有三个管理员,并不显示admin用户,但是测试中无意发现这个用户就是权限最大的用户。

测试中发现吉林省医保和南昌市人力资源和社会保障局网上申报系统没有修改admin用户密码,为初始密码1.其他系统均为修改其余默认账户和密码。

问题二

证明:

由于许久之前测试的案例并不是本次证明使用的案例,所以就不提供普通用户账户啦,如果审核人员需要,可以管理员修改或者添加普通用户。

2.PNG



问题三

证明:

3.PNG



成功的利用方法是普通用户登录系统后,手动输入地址访问报表组件,进行SQL注入,即可获取数据库内所有信息。

利用burpsuite抓取“单位变更业务列表打印”功能数据包,以普通用户权限即可注入。

问题四

证明:

这个不证明了,利用方法是发送post请求时删掉里面关于验证码的数据即可进行暴力破解。





关于如何登陆使用证书认证的系统方法。

burpsuite代理

打开

http://111.75.***.***:8001/siweb/login.do?method=begin

点击证书登陆

然后burpsuite修改post数据,将用户名和密码admin/1添加进去即可成功登录。

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2014-069688

阅读:108573 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“东软UniEAP某jige通用漏洞打包”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云