当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061084

漏洞标题:大汉版通某系统文件上传导致任意代码执行

相关厂商:南京大汉网络有限公司

漏洞作者: 路人甲

提交时间:2014-05-16 22:19

修复时间:2014-08-14 22:20

公开时间:2014-08-14 22:20

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-16: 细节已通知厂商并且等待厂商处理中
2014-05-19: 厂商已经确认,细节仅向厂商公开
2014-05-22: 细节向第三方安全合作伙伴开放
2014-07-13: 细节向核心白帽子及相关领域专家公开
2014-07-23: 细节向普通白帽子公开
2014-08-02: 细节向实习白帽子公开
2014-08-14: 细节向公众公开

简要描述:

大汉版通某个系统存在两处文件上传,可Getshell

详细说明:

#1 漏洞文件
总共存在两处文件上传,路径如下

/xxgk/m_5_5/m_5_5_3/upload.jsp
/xxgk/m_5_5/m_5_5_3/import_style.jsp


选择其一贴下漏洞代码

<%
    ListTable listtable = new ListTable(request);
    out.println(listtable.getListTableCssJs());
    sys.initSysPara(request);
    //*得到用户信息*/
    Merp_Pub_UserEntity userentity = UserRightBLF.getUserInfo(request);
    String strFilePath = application.getRealPath("")
            + "/m_5_5/m_5_5_3/temp/upload/";//上传文件保存的路径
    Convert.createDirectory(strFilePath);
    CommonUploadFile upload = new CommonUploadFile(strFilePath, "");
    boolean bl = false;
    String[] strFiles = null;
    try {
        SysInit.init();
        if (SysInit.m_strImportNoFileType == null) {
            upload.setM_Notfiletype("exe,com,bat,php,asp,php3,phtml,jsp,aspx");
        } else {
            upload.setM_Notfiletype(SysInit.m_strImportNoFileType);
        }
        bl = upload.uploadFile(request);
    } catch (Exception e) {
    }
    if (bl) {
        StyleParse sp = new StyleParse(sys.appId, sys.webId);
        sp.setUserentity(userentity);
        String strXMLFile = "";
        strFiles = upload.getAllFileName();
        if (strFiles != null) {
            for (int i = 0; i < strFiles.length; i++) {
                strXMLFile = strFilePath + strFiles[i];
                //解析xml文件
                sp.importStyle(strXMLFile);
            }
        }
    }


重点在这几行

String strFilePath = application.getRealPath("")
            + "/m_5_5/m_5_5_3/temp/upload/";//上传文件保存的路径
//...
if(SysInit.m_strImportNoFileType == null) {
   upload.setM_Notfiletype("exe,com,bat,php,asp,php3,phtml,jsp,aspx");
} else {
   upload.setM_Notfiletype(SysInit.m_strImportNoFileType);
}


很明显,程序采用了黑名单限制文件的上传,如下
upload.setM_Notfiletype("exe,com,bat,php,asp,php3,phtml,jsp,aspx");
这让我们没有办法上传jsp格式的文件(暂不考虑其它的绕过情况)
但是你们知道吗? jspx 同样可以解析为jsp
#2 漏洞测试
ok 那接下来进行漏洞的测试
随机在互联网上选取案例进行测试,这里为

http://xxgk.weifang.gov.cn/xxgk/m_5_5/m_5_5_3/import_style.jsp


如图所示

1.jpg


我们将xiao.jspx 改名为xiao.xml 上传..
提交后抓包修改文件名为1.jspx即可,如下图所示

2.jpg


此时已经在 /m_5_5/m_5_5_3/temp/upload/ 目录下生成了xiao.jspx 访问下 成功

3.jpg

漏洞证明:

#连接shell

http://xxgk.weifang.gov.cn/xxgk//m_5_5/m_5_5_3/temp/upload/xiao.jspx


如图所示

4.jpg


最高权限哦

[*] 基本信息 [ A:C:D:E:F: ]
D:\*****\tomcat\webapps\xxgk\> whoami
nt authority\system

修复方案:

严格过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-05-19 10:00

厂商回复:

感谢关注

最新状态:

暂无