### 简要描述:
GSiS政务服务平台:首个完全根据国家政策要求全新开发的,支撑政务服务体系和行政权力监督体系融合运转的一体化平台。
存在越权,可直接查看管理员密码、添加管理员、删除管理员、删除申请单、修改配置等等,所以自认为属于高危了
### 详细说明:
程序名称:Kingdee GSIS
开发公司:金蝶
漏洞类型:越权访问
漏洞文件:
/kdgs/core/superuser/superUserList.jsp 可修改管理员
/kdgs/core/superuser/list.jsp
/kdgs/core/superuser/save.action 越权添加管理员
/kdgs/core/superuser/personalSetting.jsp
/kdgs/core/superuser/superUserContent.jsp
/kdgs/core/task/list.jsp 可新建任务
admin/clearHis.jsp 删除申请单
admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置
关键词:inurl:/kdgs/
漏洞成因:对权限没有很好的过滤,只是判断session中是否有值,导致普通用户可访问管理功能
漏洞利用:注册一个普通用户,直接访问越权地址,然后XXOO
实例演示:
这里用的演示站:http://*******.gov.cn/kdgs/
注册就不多说了,上一个漏洞及前辈都提到了,URL:http://xxxx.xxx//kdgs/biz/portal/login/login.action
越权1:
http://*******.gov.cn/kdgs/core/superuser/superUserList.jsp 可修改管理员
[<img src="https://images.seebug.org/upload/201410/291011478bb75f53bf9252e0deec3361f6c47533.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291011478bb75f53bf9252e0deec3361f6c47533.jpg)
点击修改直接查看管理员密码
[<img src="https://images.seebug.org/upload/201410/2910125076a309053bc8e2d7425a64fc80a2e260.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2910125076a309053bc8e2d7425a64fc80a2e260.jpg)
另一个站:
[<img src="https://images.seebug.org/upload/201410/29101946ef16104082b20604db3002312bd6775a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29101946ef16104082b20604db3002312bd6775a.jpg)
[<img src="https://images.seebug.org/upload/201410/291020264d9f99c785923a7686178f97dce9c07c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291020264d9f99c785923a7686178f97dce9c07c.jpg)
越权2:
/kdgs/core/superuser/list.jsp 新建处 可添加管理员
[<img src="https://images.seebug.org/upload/201410/29102135fae2c53313198848ad9325414e4e0d8e.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102135fae2c53313198848ad9325414e4e0d8e.jpg)
越权3:
/kdgs/core/superuser/save.action 越权添加管理员
可直接添加管理员
[<img src="https://images.seebug.org/upload/201410/2910225963e7e8b47e27b8fb0680bd1ec9858645.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2910225963e7e8b47e27b8fb0680bd1ec9858645.jpg)
保存成功
[<img src="https://images.seebug.org/upload/201410/291024070043a9f40071225a3ce31c820b4cdf52.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291024070043a9f40071225a3ce31c820b4cdf52.jpg)
登录看看:
[<img src="https://images.seebug.org/upload/201410/291025529666199f864ec16399340925b4ef7b48.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291025529666199f864ec16399340925b4ef7b48.jpg)
这两个还是跟用户有关,就不演示了
/kdgs/core/superuser/personalSetting.jsp
/kdgs/core/superuser/superUserContent.jsp
越权4:
/kdgs/core/task/list.jsp 可新建任务,执行脚本
[<img src="https://images.seebug.org/upload/201410/29102813d74179e2b2f7c135c2d2b0e0508232db.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102813d74179e2b2f7c135c2d2b0e0508232db.jpg)
越权5:
admin/clearHis.jsp 删除申请单,这个可能影响正常业务,就不演示删除了
[<img src="https://images.seebug.org/upload/201410/291029114651311272f85ad129f6e6ecde08313b.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/291029114651311272f85ad129f6e6ecde08313b.jpg)
越权6:
admin\config\messageconfig/messageConfig.jsp 政务服务短信提醒设置
[<img src="https://images.seebug.org/upload/201410/29102955880b350857bcffd51fe937cfe52ded96.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/29102955880b350857bcffd51fe937cfe52ded96.jpg)
### 漏洞证明:
如上
京公网安备 11010502034610号
暂无评论