当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024404

漏洞标题:句酷批改网本站任意文件上传,可导致123万数据泄漏

相关厂商:pigai.org

漏洞作者: Icyblade

提交时间:2013-05-24 15:25

修复时间:2013-07-08 15:26

公开时间:2013-07-08 15:26

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-24: 细节已通知厂商并且等待厂商处理中
2013-05-24: 厂商已经确认,细节仅向厂商公开
2013-06-03: 细节向核心白帽子及相关领域专家公开
2013-06-13: 细节向普通白帽子公开
2013-06-23: 细节向实习白帽子公开
2013-07-08: 细节向公众公开

简要描述:

句酷批改网是一个很多大学(清华,上交等)英语教学都在使用的在线作文批改系统
该网站某处能够上传webshell,进一步发现数据库内有123万学生老师数据

详细说明:

最开始尝试上传头像的地方,但是这里会将头像缩放到50x41(即使分辨率是50x41也会缩放),而且png会被转成jpg,难以突破
后来发现教师布置新作文的地方能够上传,并配合nginx解析漏洞成功执行:
1.点击教师注册

1.png


2.这里随便填都能过,没有任何过滤

2.png


3.邮箱验证也是幌子,只要新建标签页pigai.org就能直接进去了

3.png


4.png


4.布置新作文 -> 添加图片

5.png


6.png


5.直接传一句话,这里连文件头都不检测一下

7.png


6.布置作文,记录下作文号

8.png


9.png


7.退出,注册一个学生帐号,同样不用验证邮箱
8.输入作文号,进入该作文

10.png


9.右键->新标签页打开,拿到一句话地址

11.png


12.png


10.菜刀之,这里利用nginx解析漏洞

13.png

漏洞证明:

菜刀:

14.png


用户数据库,包括email,密码,姓名,学校,学号,选的哪个老师的班等等

15.jpg

修复方案:

修复nginx解析漏洞
所有上传入口做过滤,图片要经过缩放(比如上传头像那个地方就是缩放后输出jpg,几乎不可能绕过)
此版本linux内核可能可以提权(我失败了,可能是exp不够给力),需要管理员注意一下
修改管理员密码,cmd5上是付费的
同样在upload文件夹内我发现了其他人的一句话,此站可能已经被玩过很多次了,请管理员清理
只求不跨省,我只是想研究一下系统是怎么改卷子的,好让期末考试英语分数高一点。。。分数越改越低的学渣伤不起

版权声明:转载请注明来源 Icyblade@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-05-24 16:09

厂商回复:

对nginx解析漏洞 理解不够深入
以为d.jpg/d.php 解决了就没事情了 没及时升级nginx
最后感谢作者手下留情

最新状态:

暂无