当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051650

漏洞标题:Thinksaas 失败的getshell & 一枚注入。

相关厂商:thinksaas.cn

漏洞作者: ′雨。

提交时间:2014-02-21 21:43

修复时间:2014-05-19 21:43

公开时间:2014-05-19 21:43

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-02-21: 细节已通知厂商并且等待厂商处理中
2014-02-23: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-04-19: 细节向核心白帽子及相关领域专家公开
2014-04-29: 细节向普通白帽子公开
2014-05-09: 细节向实习白帽子公开
2014-05-19: 细节向公众公开

简要描述:

/*为什么最新一直被走小厂商?
累觉不爱。*/
本来还以为能够直接前台getshell的。
能直接把代码写入文件。
但是最后也都败给了转义符。
还是来注入把。

详细说明:

0x01 失败的Getshell。
\app\mail\action\admin\do.php
访问这里 无需登录。

$arrData = array(
			'appname' => trim($_POST['appname']),
			'appdesc' => trim($_POST['appdesc']),
			'isenable' => trim($_POST['isenable']),
			'mailhost' => trim($_POST['mailhost']),
			'mailport' => trim($_POST['mailport']),
			'mailuser' => trim($_POST['mailuser']),
			'mailpwd' => trim($_POST['mailpwd']),
		);
        
		foreach ($arrData as $key => $val){
			$db->query("UPDATE ".dbprefix."mail_options SET optionvalue='$val' where optionname='$key'");
		}
		
		//更新缓存
		$arrOptions = $db->fetch_all_assoc("select optionname,optionvalue from ".dbprefix."mail_options");
		foreach($arrOptions as $item){
			$arrOption[$item['optionname']] = $item['optionvalue'];
		}
		
		fileWrite('mail_options.php','data',$arrOption);
		$tsMySqlCache->set('mail_options',$arrOption);
		
		qiMsg("邮件配置更新成功,并重置了缓存文件^_^");


很多可控 但是在query执行语句的时候
单引号会被转义。 再继续看看。
然后就带入了filewrite

function fileWrite($file, $dir, $data, $isphp = 1) {
	global $TS_CF, $TS_MC;
	
	$dfile = $dir . '/' . $file;
	
	// 支持memcache
	if ($TS_CF ['memcache'] && extension_loaded ( 'memcache' )) {
		$TS_MC->delete ( md5 ( $dfile ) );
		$TS_MC->set ( md5 ( $dfile ), $data, 0, 172800 );
	}
	$a = var_export ($data, false);
	
	// 同时保存文件
	! is_dir ( $dir ) ? mkdir ( $dir, 0777 ) : '';
	if (is_file ( $dfile ))
		unlink ( $dfile );
	if ($isphp == 1) {
		$data = "<?php\ndefined('IN_TS') or die('Access Denied.');\nreturn " . var_export ( $data, true ) . ";";
		
	}
	
	file_put_contents ( $dfile, $data );
	
	return true;


直接写到php文件里面里。
$dfile 不可控 但是是一个php文件 $data可控。
在var_export 之前输出$data
Array ( [appname] => a' [appdesc] => [isenable] => [mailhost] => [mailport] => [mailuser] => [mailpwd] => )
可以看到是没有转义的。 但是在经过var_export后
跟var_dump差不多 不同就是就是他会把这个弄成php格式。
也把a'转义了。
至此 Getshell 无望。
mail options.php文件中

<?php
defined('IN_TS') or die('Access Denied.');
return array (
  'appname' => 'a\'',
  'appdesc' => '',
  'isenable' => '',
  'mailhost' => '',
  'mailport' => '',
  'mailuser' => '',
  'mailpwd' => '',
);


_________________________________________________________________
0x02 注入。
还是这个文件。
虽然进入query的转义了
但是还有其他的查询。

I6__({0BWV34RZF07PAU6_L.jpg


漏洞证明:

%IN))3VZ{K6MXF%[A3YLI9K.jpg


修复方案:

求20。
求保养。
thanks

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-05-19 21:43

厂商回复:

最新版已经无法访问\app\mail\action\admin\文件。
官方2月20号已经修复上述普通用户访问管理员操作问题。
再次感谢您的反馈,谢谢!

最新状态:

暂无