modoer点评系统 GETSHELL | wooyun-2015-090087

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-090087

漏洞标题：

modoer点评系统 GETSHELL

漏洞详情

披露状态：

2015-01-08：细节已通知厂商并且等待厂商处理中
2015-01-13：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2015-03-09：细节向核心白帽子及相关领域专家公开
2015-03-19：细节向普通白帽子公开
2015-03-29：细节向实习白帽子公开
2015-04-02：细节向公众公开

简要描述：

变量可控导致文件包含getshell

详细说明：

漏洞文件:\core\modules\review\ajax.php
<?php
/**
* @author moufer<moufer@163.com>
* @copyright (c)2001-2009 Moufersoft
* @website www.modoer.com
*/
!defined('IN_MUDDER') && exit('Access Denied');
$in_ajax = 1;
$do = trim(_input('do'));
$op = trim(_input('op'));
// ÔÊÐíµÄ²Ù×÷ÐÐÎª
$allowacs = array( 'respond', 'review');
// ÐèÒªµÇÂ¼µÄ²Ù×÷
$loginacs = array( 'post_respond', 'delete_respond', 'add_flower' );
// ¿É·µ»ØµØÖ·
$_G['forward'] = $_G['web']['referer'] ? $_G['web']['referer'] : $_G['cfg']['siteurl'];
$act = empty($do) || !in_array($do, $allowacs) ? '' : $do;
if(!$do) redirect('global_op_unkown');
echo MOD_ROOT . 'ajax' . DS . $do . '.php';
include MOD_ROOT . 'ajax' . DS . $do . '.php';
?>

可以清楚的看到$do与$op是可控的，而这里的do是直接被include的

漏洞证明：

结合00截断的情况下可以实现getshell,而高版本的php我们还可以用/与./长字符截断来达到getshell

修复方案：

过滤

版权声明：转载请注明来源 d3pT1@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2015-04-02 10:23

WooYun.org

漏洞概要关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 d3pT1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 d3pT1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞