泛微ecology9 ofsLogin.jsp 信息泄露与前台任意用户登录漏洞分析

漏洞 第59号实验室
2023-05-19 11,474


起因

长亭最近发了一个漏洞预警《在野1day风险提示|泛微Ecology信息泄露&前台任意用户登录漏洞》,预警文章链接为https://mp.weixin.qq.com/s/ZvbXbtcpq8EslNKZ2hHW_w,本着学习研究的态度,对漏洞可能涉及的逻辑进行了粗略研究。



分析
长亭在预警文章中放出了最新版本的xray,更新后的xray可以对该漏洞进行远程检测,检测命令如下
./xray ws --poc poc-yaml-ecology-ofslogin-aul --url http://example.com
在本地运行上述命令

通过wireshark即可抓取到xray验证该漏洞所发出的请求数据

/mobile/plugin/1/ofsLogin.jsp?syscode=syscode&timestamp=2&gopage=3&receiver=test&loginTokenFromThird=

既然定位到了具体文件,那么接下来就可以进行分析了

打开泛微ecology9 安装目录下的mobile/plugin/1/ofsLogin.jsp文件,如下

首先在19-23行,在访问该mobile/plugin/1/ofsLogin.jsp这个url时,会首先接收传输过来的syscode、receiver、timestamp、loginTokenFromThird、gopage这几个参数

然后在26行,调用AESCoder.encrypt方法对参数进行AES加密,AESCoder.encrypt方法的第一个参数为receiver+timestamp,调用一个Prop.getPropValue方法获得一个返回值并与接收到的syscode值进行拼接,得到的返回值作为第二个参数,AES加密得到的数据赋值给loginTokenFromThird2变量

接下来从36行开始进行登录逻辑的验证,在36-39行,判断接收到的loginTokenFromThird与生成的loginTokenFromThird2值是否相等,如果不相等,则登录失败,并调转到/login/Login.jsp。只有loginTokenFromThird与loginTokenFromThird2相等才能继续执行下面的登录逻辑。

继续往下,当loginTokenFromThird与loginTokenFromThird2相等时,首先会将接收到的syscode值作为条件参数在数据表ofs_sendinfo中进行查询,查询的字段为hrmtransrule。当查询到的hrmtransrule为空时(也就是查询条件syscode值在ofs_sendinfo表中不存在),将hrmtransrule赋值为“1”;当查询到的hrmtransrule不为空时,进行52-63行的判断。定义了一个变量rule,默认值为"loginid",若hrmtransrule为"0",则将rule赋值为"id";若hrmtransrule为"1",则rule赋值为"loginid",后面的逻辑同理。

将上述判断逻辑执行过后,rule变量的值作为条件字段在数据表HrmResource中查询,而条件参数则为接收到的receiver值

此时笔者直接在本地测试环境数据库中执行select * from HrmResource;SQL语句查了一下,发现笔者的环境中HrmResource是个空表

也就是说在笔者的环境中,后面的逻辑是无法继续执行的

接下来到人事->新建人员中新建一个人员

新建完成后,再次查询,可以看到HrmResource表中已经有数据

故笔者猜测,只有HrmResource用户表中存在数据时,该漏洞才有可能被利用。

继续后面的逻辑,后面的逻辑就比较简单了,从查询到的结果中获取id并赋值给userid,然后根据userid生成认证凭证,也就是session,完成认证后就跳转到用户指定的页面,也就是接收到的gopage参数

分析到这里,整个登录逻辑已经非常清晰了,关键在两个条件:

1.loginTokenFromThird需要与loginTokenFromThird2相等,loginTokenFromThird可控,loginTokenFromThird2则是根据可控的参数调用内部加密函数生成,且加密函数的入参不变时,loginTokenFromThird2也是固定的;

2.HrmResource用户信息表中必须要有数据。



测试

在HrmResource表中loginid其实就是登录用户名,比如默认系统管理员的loginid就是sysadmin,想要接近loginid的判断逻辑有两个方法,第一种是syscode值在表中不存在,第二种是根据syscode查到的hrmtransrule必须"1",显然第一种更好利用一些。接下来就可以构造参数生成loginTokenFromThird2,然后将得到的loginTokenFromThird2值原封不动作为loginTokenFromThird参数值即可完成任意用户登录的利用。


本文作者:第59号实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/200741.html

Tags:
点赞: 1 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

第59号实验室
文章数:15 积分: 0

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼