当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020286

漏洞标题:IDCSPY使用的客服系统(KnowledgeBuilder)存在任意文件上传的问题

相关厂商:idcspy

漏洞作者: kevila

提交时间:2013-03-19 10:52

修复时间:2013-05-03 10:52

公开时间:2013-05-03 10:52

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:5

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-05-03: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

可以上传任意文件

详细说明:

最初在浏览
http://support.idcspy.com
想看看有没有注入或XSS的问题
当在留言页面测试
http://support.idcspy.com/index.php?action=kb&article=2&op=comment
时,修改了一下article的值
http://support.idcspy.com/index.php?action=kb&article=22&op=comment
然后显示了如下错误:

Fatal error: Call to a member function getComments() on a non-object in /home/support/public_html/modules/KB/includes/KBCommentContext.class.php on line 76


3.png


根据该错误的文件名KBCommentContext.class.php去Google了一下这是个什么程序。
发现是使用的一个第三方程序。
尝试访问:
http://support.idcspy.com/modules/
显示了目录索引的信息,泄露的一些关键信息就不说了。

2.png


本来试图去下载KnowledgeBuilder去研究代码,结果发现这货已经在网上绝迹了,官网上似乎也无法下载,貌似是商用软件。
关键的地方这个程序里面:
http://support.idcspy.com/modules/KB/admin/article_attach.php
这个程序可以上传任意文件到服务器,并且似乎不做任何后缀检查。
下载的话是这个地址:
http://support.idcspy.com/modules/KB/file_d.php?id=xxx
但很囧的是因为拿不到这套程序的代码,所以不知道它的储存路径在哪里,或许是存在数据库里?

漏洞证明:

http://support.idcspy.com/modules/KB/admin/article_attach.php
访问这个地址就可以直接看到。

1.png


尽管由于没有搞清楚存储路径,所以无法任意执行文件,但是这种可以任意上传的问题,也会导致许多的问题。

修复方案:

首先是禁止Apache的目录索引,其次是解决上传文件无需认证和后缀判断的问题。

版权声明:转载请注明来源 kevila@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:6 (WooYun评价)