漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020286
漏洞标题:IDCSPY使用的客服系统(KnowledgeBuilder)存在任意文件上传的问题
相关厂商:idcspy
漏洞作者: kevila
提交时间:2013-03-19 10:52
修复时间:2013-05-03 10:52
公开时间:2013-05-03 10:52
漏洞类型:文件上传导致任意代码执行
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-05-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
可以上传任意文件
详细说明:
最初在浏览
http://support.idcspy.com
想看看有没有注入或XSS的问题
当在留言页面测试
http://support.idcspy.com/index.php?action=kb&article=2&op=comment
时,修改了一下article的值
http://support.idcspy.com/index.php?action=kb&article=22&op=comment
然后显示了如下错误:
根据该错误的文件名KBCommentContext.class.php去Google了一下这是个什么程序。
发现是使用的一个第三方程序。
尝试访问:
http://support.idcspy.com/modules/
显示了目录索引的信息,泄露的一些关键信息就不说了。
本来试图去下载KnowledgeBuilder去研究代码,结果发现这货已经在网上绝迹了,官网上似乎也无法下载,貌似是商用软件。
关键的地方这个程序里面:
http://support.idcspy.com/modules/KB/admin/article_attach.php
这个程序可以上传任意文件到服务器,并且似乎不做任何后缀检查。
下载的话是这个地址:
http://support.idcspy.com/modules/KB/file_d.php?id=xxx
但很囧的是因为拿不到这套程序的代码,所以不知道它的储存路径在哪里,或许是存在数据库里?
漏洞证明:
http://support.idcspy.com/modules/KB/admin/article_attach.php
访问这个地址就可以直接看到。
尽管由于没有搞清楚存储路径,所以无法任意执行文件,但是这种可以任意上传的问题,也会导致许多的问题。
修复方案:
首先是禁止Apache的目录索引,其次是解决上传文件无需认证和后缀判断的问题。
版权声明:转载请注明来源 kevila@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:6 (WooYun评价)