当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(22) 关注此漏洞

缺陷编号: WooYun-2015-105290

漏洞标题: 泛微e-office无需登录注入一枚

相关厂商: 泛微E-Office

漏洞作者: phith0n认证白帽子

提交时间: 2015-04-03 23:24

公开时间: 2015-07-04 19:56

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: php源码审核 白盒测试

2人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-03: 细节已通知厂商并且等待厂商处理中
2015-04-05: 厂商已经确认,细节仅向厂商公开
2015-04-08: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-05-30: 细节向核心白帽子及相关领域专家公开
2015-06-09: 细节向普通白帽子公开
2015-06-19: 细节向实习白帽子公开
2015-07-04: 细节向公众公开

简要描述:

无需登录注入。

详细说明:

紧跟pandas哥哥的步伐,来日泛微eoffice了。

先对系统进行解密。

/inc/priv_user_list/priv_xml.php 大概18行开始

code 区域
$pararr = explodestpar( $_REQUEST['par'] );


$userpriv = $pararr['userpriv'];


...


if ( $pararr['view_type'] == 0 )


{


				unset( $deptnameutf8 );


				unset( $action );


				unset( $src );


				unset( $target );


				unset( $icon );


				$usql = "\r\n\t\t\tSELECT * FROM USER,USER_PRIV \r\n\t\t\t\tWHERE USER.USER_PRIV=".$userpriv." \r\n\t\t\t\tAND USER.USER_PRIV=USER_PRIV.USER_PRIV \r\n\t\t\t\tORDER BY PRIV_NO,USER_NAME\r\n\t\t\t";


				$urs = exequery( $connection, $usql );



$pararr = explodestpar( $_REQUEST['par'] );获取到request后,调用explodestpar处理,将$pararr['userpriv']传入SQL语句。

看看explodestpar函数:

code 区域
function explodeStPar( $enpar )


{


				$depar = base64_decode( $enpar );


				$arrpar = explode( "|", $depar );


				if ( !is_array( $arrpar ) )


				{


								return false;


				}


				$i = 0;


				for ( ;	$i < sizeof( $arrpar );	++$i	)


				{


								$strpar = $arrpar[$i];


								$tmparr = explode( ":", $strpar );


								$j = 0;


								for ( ;	$j < sizeof( $tmparr );	++$j	)


								{


												if ( $j == 0 )


												{


																preg_match( "/\\[([a-z0-9-_].+)\\]/i", $tmparr[$j], $exp );


																$par = $exp[1];


												}


												else


												{


																preg_match( "/\\[(.*)\\]/i", $tmparr[$j], $exp );


																$val = $exp[1];


												}


								}


								if ( trim( $par ) != "" )


								{


												$rearr[$par] = $val;


								}


				}


				return $rearr;


}



大概是base64解码后7788处理一堆,出来一个数组。

既然是base64解码后的,所以可以有任何字符。不过本来这个注入点也没有单引号限制,所以也是直接注入的。

不过这程序不开源,蛮多东西不知道,就不构造EXP了,直接丢个盲注脚本出来,在测试脚本中。

漏洞证明:

用之前前辈丢出来的几个测试站测试吧:

**.**.**.**:8082/wav/1.php

**.**.**.**:8082/wav/1.php

**.**.**.**:8082/wav/1.php



加单引号1',报错:

QQ20150401-2@2x.png



QQ20150401-3@2x.png



爆出绝对路径。不过这SQL语句不好写shell,因为后面换行了,注释不掉。

说明这漏洞是存在的,写了个小脚本验证:

QQ20150401-1@2x.png



修改脚本中url即可修改目标。经测试上面三个站都可以注入,而且mysql user()都是root@localhost。

修复方案:

过滤。

版权声明:转载请注明来源 phith0n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2015-04-05 19:55

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-04-02 01:05 | Sunshie ( 实习白帽子 | Rank:77 漏洞数:23 | http://phpinfo.meฏ๎๎๎๎๎๎๎๎๎๎...)
    0

    你关注的白帽子 phith0n 发表了漏洞 泛微e-office无需登录注入一枚

    1# 回复此人
  2. 2015-04-02 03:51 | _Thorns ( 普通白帽子 | Rank:1712 漏洞数:261 )
    0

    你关注的白帽子 phith0n 发表了漏洞 泛微e-office无需登录注入一枚

    2# 回复此人
  3. 2015-04-02 09:49 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)
    0

    你关注的白帽子 phith0n 发表了漏洞 泛微e-office无需登录注入一枚

    3# 回复此人
  4. 2015-04-02 10:31 | 动后河 ( 实习白帽子 | Rank:57 漏洞数:16 | ☭)
    0

    没有奖金,大牛你亏了

    4# 回复此人
  5. 2015-04-02 10:32 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)
    0

    你关注的白帽子 phith0n 发表了漏洞 泛微e-office无需登录注入一枚

    5# 回复此人
  6. 2015-04-02 17:44 | Fire ant ( 普通白帽子 | Rank:107 漏洞数:34 | 他们回来了................)
    0

    你关注的白帽子 phith0n 发表了漏洞 泛微e-office无需登录注入一枚

    6# 回复此人

登录后才能发表评论,请先 登录