致远A8协同系统存在任意用户密码修改漏洞（秒改）

基本字段

漏洞编号：: SSV-94623

披露/发现时间：: 2016-02-23

提交时间：: 2016-02-23

漏洞等级：

漏洞类别：: 其他类型

影响组件：: YonYou OA

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2016-0177942

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：不仅仅修改密码，还可以禁用、删除、添加用户上传下载文件等等 ### 详细说明：协同系统的一些接口如下： [<img src="https://images.seebug.org/upload/201602/231139022796bd17c379803daf6ac6c570f29ffe.jpg" alt="Snap27.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231139022796bd17c379803daf6ac6c570f29ffe.jpg) [<img src="https://images.seebug.org/upload/201602/231141409b31fc93d43536804539a3ac7220ac14.jpg" alt="Snap28.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231141409b31fc93d43536804539a3ac7220ac14.jpg) 1.2 验证服务服务名称：authorityService WSDL：http://{host}:{port}/seeyon/services/authorityService?wsdl 1.2.1 登录验证 **.**.**.** 身份验证令牌实体（UserToken） **.**.**.** 身份验证使用用户名和密码进行身份验证。用户名不能更改，必须使用，缺省密码为，可以通过修改A8Config系统参数配置的a8.plugin.webservice.password值修改密码。为了设置方便，缺省情况下密码使用明文保存，如果为了安全，可以将a8.plugin.webservice.password.encode设置为1，在a8.plugin.webservice.password保存密码的MD5值。有了token后可以干很多的事情可以删除、添加用户，可以禁用用户，还可以下载上传文件等等上面接口的操作都需要token 可以参考文档这里以修改密码为例修改密码有两种方法一种是根据ID 一种是根据用户名由于ID不知道所以测试的时候都是根据用户名 ### 漏洞证明： http://**.**.**.**/seeyon/services/authorityService?wsdl 获取token [<img src="https://images.seebug.org/upload/201602/2312335023cd61a1a9538801c8e7c59f35dc9ace.jpg" alt="Snap32.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/2312335023cd61a1a9538801c8e7c59f35dc9ace.jpg) 访问http://**.**.**.**//seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=zw&P_2_String=wooyun 返回false 说明zw密码不正确 [<img src="https://images.seebug.org/upload/201602/231234234c2ce97215420a0d2697c916358993de.jpg" alt="Snap33.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231234234c2ce97215420a0d2697c916358993de.jpg) 修改密码 [<img src="https://images.seebug.org/upload/201602/231234311ea30f47be1e4091f9789ed1bac44bd5.jpg" alt="Snap34.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231234311ea30f47be1e4091f9789ed1bac44bd5.jpg) [<img src="https://images.seebug.org/upload/201602/231235324ddb456f1507d8647fca75a7b0a9115c.jpg" alt="Snap35.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231235324ddb456f1507d8647fca75a7b0a9115c.jpg) 新密码修改成功 58到家 http://**.**.**.**/seeyon/index.jsp 以 audit-admin 为例 [<img src="https://images.seebug.org/upload/201602/231239048ed6b78d4c6fb6f41f51bbcb82ed3ad8.jpg" alt="Snap36.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231239048ed6b78d4c6fb6f41f51bbcb82ed3ad8.jpg) [<img src="https://images.seebug.org/upload/201602/231240557c9957a81c552196a7ecc7eb01a9e489.jpg" alt="Snap37.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231240557c9957a81c552196a7ecc7eb01a9e489.jpg) 登录提示 [<img src="https://images.seebug.org/upload/201602/23124155cc44bfcdf48ef9a5f0595e702e85eabe.jpg" alt="Snap39.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/23124155cc44bfcdf48ef9a5f0595e702e85eabe.jpg) 换一个密码登录提示 [<img src="https://images.seebug.org/upload/201602/231242137c786bbac131bf37addb4fc2b9070b30.jpg" alt="Snap38.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231242137c786bbac131bf37addb4fc2b9070b30.jpg) 说明密码修改成功为了严谨再修改一个anhanhan 密码修改为wooyun [<img src="https://images.seebug.org/upload/201602/2312462510c758322ee5c7ca9f989a958dc9c56f.jpg" alt="Snap40.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/2312462510c758322ee5c7ca9f989a958dc9c56f.jpg) [<img src="https://images.seebug.org/upload/201602/23124633f20aded8f37b5035e7a7a09805f51aad.jpg" alt="Snap41.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/23124633f20aded8f37b5035e7a7a09805f51aad.jpg) 登录成功 [<img src="https://images.seebug.org/upload/201602/231247362dfa621188060d7771d27b1a861b025a.jpg" alt="Snap42.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/231247362dfa621188060d7771d27b1a861b025a.jpg) ------- 下面就不再修改密码了只获取token http://**.**.**.**/seeyon/services/authorityService?wsdl [<img src="https://images.seebug.org/upload/201602/2312584623586966d8c9e542bac8c8b762aa6f3d.jpg" alt="Snap44.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/2312584623586966d8c9e542bac8c8b762aa6f3d.jpg) 官网好像有毒，密码修改不了，用户封禁了但是解不了。。 ----------- http://**.**.**.**/bugs/wooyun-2010-0166129 http://**.**.**.**//seeyon/services/authorityService?wsdl [<img src="https://images.seebug.org/upload/201602/23130157ff62c0d7726e2d348c8f3748af31f995.jpg" alt="Snap45.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/23130157ff62c0d7726e2d348c8f3748af31f995.jpg) .... 案例乌云上都不少 [<img src="https://images.seebug.org/upload/201602/2312515339fa4277f71aa0e4bfaf61284bf1ba51.jpg" alt="Snap43.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/2312515339fa4277f71aa0e4bfaf61284bf1ba51.jpg) [<img src="https://images.seebug.org/upload/201602/23130255972b0ddea7976531018b872c815680cc.jpg" alt="Snap46.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201602/23130255972b0ddea7976531018b872c815680cc.jpg) 水平有限，上传就不测试了

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2016-0177942

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

致远A8协同系统存在任意用户密码修改漏洞（秒改）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

致远A8协同系统存在任意用户密码修改漏洞（秒改）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定