漏洞概要 关注数(21) 关注此漏洞
漏洞标题: 某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell ![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
漏洞作者: 魇
提交时间: 2014-09-05 16:14
公开时间: 2014-12-02 16:16
漏洞类型: 设计缺陷/逻辑错误
危害等级: 高
自评Rank: 20
漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系
漏洞详情
披露状态:
2014-09-05: 细节已通知厂商并且等待厂商处理中
2014-09-08: 厂商已经确认,细节仅向厂商公开
2014-09-11: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-11-02: 细节向核心白帽子及相关领域专家公开
2014-11-12: 细节向普通白帽子公开
2014-11-22: 细节向实习白帽子公开
2014-12-02: 细节向公众公开
简要描述:
据说是市场上最畅销的E-learning产品,用户超5000家
详细说明:
上海天柏信息科技有限公司 官网:http://**.**.**.**/
成功案例:http://**.**.**.**/Customer.html
产品:天柏在线考试系统
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
包含众多政府/教育/企业/运营商/科技公司等等,用户量真的很大...
谷歌搜索语法:inurl:stu_user_regist.aspx
部分影响实例:
漏洞证明:
从官方demo http://**.**.**.**/login.aspx
测试账号:master/123456
master该帐号是系统体验员的帐号,拥有可操作修改任意用户的权限
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
通过抓包,获取到该请求:http://**.**.**.**/system/Stu_User_Manage.aspx?action=view&InfoPager=1&infoid=4917
访问该页面通过修改infoid参数可实现越权查看任意用户,修改用户密码,赋予系统管理员权限
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
赋予管理员权限之后,在后台上传LOGO文件处可任意上传文件直接GetShell
最要命的是经过我后续对其他通用案例的测试,该一系列操作直接注册一个普通用户即可完成
(该在线考试系统99.99%都是提供注册功能的可以直接注册,不信可以自己看看)
接下来是实例演示:
http://**.**.**.**/login.aspx 贵州自考网
我自己注册的帐号: admin2/admin2
登录后访问http://**.**.**.**/system/Stu_User_Manage.aspx?action=edit&InfoPager=1&infoid=88
以修改1024966595该帐号密码,以及帮他赋予系统管理员权限为例
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
1024966595:123456 重新登录下
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
系统管理-系统设置-前台Logo或者后台Logo上传文件处可以直接上传ASP一句话
保存后查看,返回了路径,然后拼接地址...
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
http://**.**.**.**/UpLoad/System/20140903121440948242.asp 密码:pass
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
再证明1个: http://**.**.**.**:38501/login.aspx
我自己注册的帐号: admin2/admin2
登录后访问:http://**.**.**.**:38501/system/Stu_User_Manage.aspx?action=edit&InfoPager=1&infoid=88
(顺带一提,这个访问不存在的id页面会报错,但是没关系,可以使用burpsuite爆破,访问存在的id)
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
用户liuhuaxing密码仍被修改为123456,赋予管理员权限..
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
然后如上上传ASP一句话, http://**.**.**.**:38501/UpLoad/System/2014090312264026562.asp 密码:pass
![某E-learning产品内置账号可操作任意用户及添加管理员/任意文件上传GetShell]()
修复方案:
整理一下
默认登录页面:/login.aspx
默认注册页面:/system/stu_user_regist.aspx
越权页面:/system/Stu_User_Manage.aspx?action=edit&InfoPager=1&infoid=(XXX)
后台上传处:系统设置-前台Logo或者后台Logo上传处
版权声明:转载请注明来源 魇@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:16
确认时间:2014-09-08 09:38
厂商回复:
最新状态:
暂无
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
评价
-
2014-09-03 18:48 |
魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子, 但是除了他华...)
1
-
2014-09-03 19:58 |
贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)
0
-
2014-09-03 19:59 |
魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子, 但是除了他华...)
0
-
2014-09-03 20:00 |
贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)
0
-
2015-06-13 10:14 |
saviour ( 普通白帽子 | Rank:188 漏洞数:29 | Saviour.Com.Cn 网站正在备案中)
0
评论