漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-020667
漏洞标题:ROYCMS漏洞之三,普通权限严重的越权操作以及后台getshell,果断可进服务器
相关厂商:roycms.cn
漏洞作者: wefgod
提交时间:2013-03-25 23:38
修复时间:2013-03-30 23:39
公开时间:2013-03-30 23:39
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-03-25: 细节已通知厂商并且等待厂商处理中
2013-03-30: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
服务器有狗狗,动不动就来这个
您的请求带有不合法的参数,谢谢合作!
来自安全狗工作室-网站安全狗软件的友好提示
不过RP好,普通权限成管理员……然后还直接可以过狗狗!
详细说明:
先说一下有一个“审稿员”账户的相关信息获取途径,也就是之前提到的漏洞二里面,说到登录了官方的邮箱,在一封邮件内看见如下图的内容:
然后的然后就是继续讨论这次的漏洞了。
测试这个账号是可以登录成功后台的,而且权限是审稿员:
然后,只要可以登录到后台,就可以直接添加一个超级管理员的账户:
直接就可以用该账户登录…………接着,getshell就放到漏洞证明说吧。
漏洞证明:
上面刚添加了一个账户roytest,利用该账户登录后,什么七七八八被狗狗拦截各种神奇提示怎么纠结之类的,就不提了。直入主题getshell吧,来到文件管理这:
图上标红的框,就是ZIP上传,就是利用该上传方式可以直接绕过安全狗的检测,构造一个如CMS_UFile.zip的zip包,里面包含了一个文件夹CMS_UFile和一个aspx文件,直接提示 上传并解压成功!!
进入到CMS_UFile这个目录,就可以看见a.aspx写入文件夹成功了:
直接连接就可以成功看见服务器的目录和文件了:
asp.net的权限是网络服务的权限,具体一些有危害的操作,我们在这就不进一步的演示了。
修复方案:
1.账号权限限制的问题,上面的例子里面就提到了比如“添加超级管理员”这个问题,按理来说审稿员不应该有添加用户的权限;
2.上传的问题,可能还是考虑下zip上传是否真有必要。
3.编辑上面的东西很辛苦啊……求审核通过!
版权声明:转载请注明来源 wefgod@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2013-03-30 23:39
厂商回复:
漏洞Rank:17 (WooYun评价)
最新状态:
暂无