WooYun.org

接上一枚

http://**.**.**.**/bugs/wooyun-2014-063604

漏洞涉及客户如下：

国内各大银行：中国银行、民生银行、广东发展银行、平安银行、深圳发展银行、浦发银行、渤海银行总行及各分行、中国工商银行、中国农业银行、中国建设银行、交通银行、招商银行、中信银行、兴业银行、华夏银行、中国邮政储蓄银行总行或部分分行

中国银联：总公司及北京、广州、深圳、南京、福州、长沙、武汉、济南、青岛、沈阳、郑州、海口、天津、香港、厦门等分公司

银联数据：全国卡系统业务托管商业银行

外资银行：渣打银行、东亚银行：全国境内各个分行

外资金融机构：韩亚银行、花旗银行、通用电气、星展银行、美国第一资讯（FDC)

地方商业银行及农村信用社：40余家商业银行及农村信用社

社会保障与公共交通系统：湖北、黑龙江、广东、北京等社保卡安全系统，上海市公交一卡通安全系统，杭州市市民卡系统，长春一汽企业IC卡加密系统，宁波市民卡系统，郑州交通一卡通系统，山东一卡通系统

....

这是一个官方做的一个统计，在日常工作当中，在很多能源单位以及金融单位经常见江南科友堡垒机。。所以影响范围就不说了。

看分析吧



0x01 反射型xss

在rdplogout.php中

</script>	


<body>


	


	<div align="center">


		<font color="red" >


			资源


			<?php


			echo $_GET['res_name'];  //直接输出，产生xss


			?>


		的远程连接已经退出


		</font>


	</div>

链接如下：

**.**.**.**/rdplogout.php?res_name=<script>alert(222)</script>

0x02 越权、信息泄露(物理路径）

**.**.**.**/system/ADD_VDH_Protocl.php

代码就不分析了。没有任何权限验证，导致可以随意增加协议相关信息

**.**.**.**/system/download_cert.php?down_cret=1

0x03 通杀SQL注入漏洞

在system/download_cert.php当中31行处

if(isset($_GET['manager']) && isset($_GET['user_id']) && isset($_GET['cert_psw']))


	{


		$db = new SystemDB();


	


		$cert_msg = $db->getCertById('',$_GET['user_id'],$_GET['manager']);


		


		if(!empty($cert_msg))


		{

我们跟踪下getCertById 方法

public function getCertById($id=null,$user_id=null,$userflag=null) 


    {


    	try 


    	{


    		if(!empty($id) && empty($user_id))


    			$sql = "select * from cert where id = ".$id;


    		else if(empty($id) && !empty($user_id))


    		{


    			$sql = "select * from cert where user_id=".$user_id." and userflag=".$userflag;	


    		}


    		//echo $sql;


    		$stmt = $this->dbh->prepare($sql);


    		$stmt->execute();

当$id 不为空 和$user_id为空的情况下 执行 "select * from cert where id = ".$id;

其中$id 有过滤吗？没，所以直接注，并且它有显错模式如图

https://1.x.x.98/system/download_cert.php?user_id=2&cert_psw=3&manager=1

堡垒机相信大家都懂，不懂的自己百度吧

堡垒机上面的内网机器就不去鼓捣了。。。

我们控制了它，相当于控制了内网的所有主机了。。。。