金蝶某系统上传漏洞导致GETSHELL（已成养马场）

### 简要描述： wooyun的审核大哥，麻烦审核下http://www.wooyun.org/bugs/wooyun-2015-0138341/trace/59330513063ee2e0ce62e5655bd17f0e，提交有一段时间了.....3Q！！！ ### 详细说明： 上传漏洞导致getshell，发现已经成了养马场，泄露了2007年~2015年所有用户的用户名密码。 ### 漏洞证明： 金蝶在线考试系统：http://exam.kingdee.com/，存在上传漏洞导致getshell。 该系统登录首页界面： [<img src="https://images.seebug.org/upload/201509/07124812acfdbb0a77f843c40f8bd5a989d42f53.png" alt="登录界面1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/07124812acfdbb0a77f843c40f8bd5a989d42f53.png) 存在漏洞的上传页面,可直接上传jsp文件。 [<img src="https://images.seebug.org/upload/201509/0712494145245254fcef8f674163d3415498dfcb.png" alt="上传界面2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/0712494145245254fcef8f674163d3415498dfcb.png) 很快就拿到了shell，shell地址为：http://exam.kingdee.comhttps://images.seebug.org/upload/attach/2015-09-06-322893428.jsp（密码为aaaaaa） 扫了一下，发现了全是大马，真的成了养马场了！ [<img src="https://images.seebug.org/upload/201509/0712520035e704100aecdb5b9e825f03b5dbee70.png" alt="菜刀连接，全是大马3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/0712520035e704100aecdb5b9e825f03b5dbee70.png) 随便看了几个大马： 大马1：http://exam.kingdee.comhttps://images.seebug.org/upload/attach/2015-07-21-614589237.jsp（密码：shack2） [<img src="https://images.seebug.org/upload/201509/0712542875c1fdf9b8ef1d9248222e67a3793768.png" alt="大马4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/0712542875c1fdf9b8ef1d9248222e67a3793768.png) 大马2：http://exam.kingdee.comhttps://images.seebug.org/upload/attach/2015-07-20-956680840.jsp（无需密码） [<img src="https://images.seebug.org/upload/201509/07125529d947dd7882e0033e9e6fc68b0383ab8d.png" alt="大马5.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/07125529d947dd7882e0033e9e6fc68b0383ab8d.png) 大马3：http://exam.kingdee.comhttps://images.seebug.org/upload/attach/2015-04-24-974391650.jsp（密码：520520） [<img src="https://images.seebug.org/upload/201509/0712560239dd1b9867289969996450c1b22ae581.png" alt="大马6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/0712560239dd1b9867289969996450c1b22ae581.png) 找了一下数据库配置文件，没找到，就浏览了下其他目录，发现了2007~2015年该系统的所有用户的用户名、密码。（明文存储、基本都是弱密码） [<img src="https://images.seebug.org/upload/201509/07125839d7af732d3207808078080a29a69be0ce.png" alt="密码xls7.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/07125839d7af732d3207808078080a29a69be0ce.png) 随便打开一个看看： [<img src="https://images.seebug.org/upload/201509/07125943395ee4949b93d527a7a0ff3e23a7fb71.png" alt="密码明文8.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/07125943395ee4949b93d527a7a0ff3e23a7fb71.png) 试着登录了2个用户，用户名密码都是正确的。 [<img src="https://images.seebug.org/upload/201509/07130042ae7e1f2feaa809f99bf9b29779697f37.png" alt="孟波9.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/07130042ae7e1f2feaa809f99bf9b29779697f37.png) （孟波223/888888） [<img src="https://images.seebug.org/upload/201509/0713011138f2145712bfa5ea109c2301f04936e7.png" alt="姚勇10.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201509/0713011138f2145712bfa5ea109c2301f04936e7.png) (姚勇223/888888) OK，到此为止！