A-A+

致远A8协同系统存在任意用户密码修改漏洞(秒改)

2017年11月20日 17:16 汪洋大海 暂无评论 阅读 128 views 次

因为会碰到这个漏洞,所以转载一下。。。。。。来自已逝去的“乌云”。

详细说明:

协同系统的一些接口如下:

Snap27.jpg

Snap28.jpg

1.2 验证服务

服务名称:authorityService

WSDL:http://{host}:{port}/seeyon/services/authorityService?wsdl

1.2.1 登录验证

**.**.**.** 身份验证令牌实体(UserToken)

**.**.**.** 身份验证

使用用户名和密码进行身份验证。

用户名不能更改,必须使用

mask 区域
*****ce-*****

,缺省密码为

mask 区域
*****45*****

,可以通过修改A8Config系统参数配置的a8.plugin.webservice.password值修改密码。为了设置方便,缺省情况下密码使用明文保存,如果为了安全,可以将a8.plugin.webservice.password.encode设置为1,在a8.plugin.webservice.password保存密码的MD5值。

有了token后可以干很多的事情

可以删除、添加用户,可以禁用用户,还可以下载上传文件等等

上面接口的操作都需要token

可以参考文档

mask 区域
1.http://**.**.**/a/2015/09-09/946261.html

这里以修改密码为例

修改密码有两种方法

一种是根据ID 一种是根据用户名

由于ID不知道 所以测试的时候都是根据用户名

漏洞证明:

http://**.**.**.**/seeyon/services/authorityService?wsdl

获取token

Snap32.jpg

访问http://**.**.**.**//seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=zw&P_2_String=wooyun

返回false 说明zw密码不正确

Snap33.jpg

修改密码

Snap34.jpg

Snap35.jpg

新密码修改成功

58到家

http://**.**.**.**/seeyon/index.jsp

以 audit-admin 为例

Snap36.jpg

Snap37.jpg

登录提示

Snap39.jpg

换一个密码登录提示

Snap38.jpg

说明密码修改成功

为了严谨 再修改一个anhanhan 密码修改为wooyun

Snap40.jpg

Snap41.jpg

登录成功

Snap42.jpg

-------

下面就不再修改密码了 只获取token

http://**.**.**.**/seeyon/services/authorityService?wsdl

Snap44.jpg

官网好像有毒,密码修改不了,用户封禁了但是解不了。。

-----------

http://**.**.**.**/bugs/wooyun-2010-0166129

http://**.**.**.**//seeyon/services/authorityService?wsdl

Snap45.jpg

....

案例乌云上都不少

Snap43.jpg

Snap46.jpg

水平有限,上传就不测试了

标签:

给我留言