金蝶政务GSiS服务平台多处越权访问(可越权添加管理员)

2014-10-29T00:00:00
ID SSV:93808
Type seebug
Reporter Root
Modified 2014-10-29T00:00:00

Description

简要描述:

GSiS政务服务平台:首个完全根据国家政策要求全新开发的,支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 存在越权,可直接查看管理员密码、添加管理员、删除管理员、删除申请单、修改配置等等,所以自认为属于高危了

详细说明:

程序名称:Kingdee GSIS 开发公司:金蝶 漏洞类型:越权访问 漏洞文件: /kdgs/core/superuser/superUserList.jsp 可修改管理员 /kdgs/core/superuser/list.jsp
/kdgs/core/superuser/save.action 越权添加管理员 /kdgs/core/superuser/personalSetting.jsp /kdgs/core/superuser/superUserContent.jsp /kdgs/core/task/list.jsp 可新建任务 admin/clearHis.jsp 删除申请单 admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置 关键词:inurl:/kdgs/

漏洞成因:对权限没有很好的过滤,只是判断session中是否有值,导致普通用户可访问管理功能 漏洞利用:注册一个普通用户,直接访问越权地址,然后XXOO 实例演示: 这里用的演示站:http://*.gov.cn/kdgs/ 注册就不多说了,上一个漏洞及前辈都提到了,URL:http://xxxx.xxx//kdgs/biz/portal/login/login.action 越权1: http://*.gov.cn/kdgs/core/superuser/superUserList.jsp 可修改管理员

<img src="https://images.seebug.org/upload/201410/291011478bb75f53bf9252e0deec3361f6c47533.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

点击修改直接查看管理员密码

<img src="https://images.seebug.org/upload/201410/2910125076a309053bc8e2d7425a64fc80a2e260.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

另一个站:

<img src="https://images.seebug.org/upload/201410/29101946ef16104082b20604db3002312bd6775a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201410/291020264d9f99c785923a7686178f97dce9c07c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

越权2: /kdgs/core/superuser/list.jsp 新建处 可添加管理员

<img src="https://images.seebug.org/upload/201410/29102135fae2c53313198848ad9325414e4e0d8e.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

越权3: /kdgs/core/superuser/save.action 越权添加管理员 可直接添加管理员

<img src="https://images.seebug.org/upload/201410/2910225963e7e8b47e27b8fb0680bd1ec9858645.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

保存成功

<img src="https://images.seebug.org/upload/201410/291024070043a9f40071225a3ce31c820b4cdf52.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

登录看看:

<img src="https://images.seebug.org/upload/201410/291025529666199f864ec16399340925b4ef7b48.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

这两个还是跟用户有关,就不演示了 /kdgs/core/superuser/personalSetting.jsp /kdgs/core/superuser/superUserContent.jsp 越权4: /kdgs/core/task/list.jsp 可新建任务,执行脚本

<img src="https://images.seebug.org/upload/201410/29102813d74179e2b2f7c135c2d2b0e0508232db.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

越权5: admin/clearHis.jsp 删除申请单,这个可能影响正常业务,就不演示删除了

<img src="https://images.seebug.org/upload/201410/291029114651311272f85ad129f6e6ecde08313b.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

越权6: admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置

<img src="https://images.seebug.org/upload/201410/29102955880b350857bcffd51fe937cfe52ded96.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

如上