乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2014-11-16: 细节已通知厂商并且等待厂商处理中 2014-11-21: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放 2015-01-15: 细节向核心白帽子及相关领域专家公开 2015-01-25: 细节向普通白帽子公开 2015-02-04: 细节向实习白帽子公开 2014-12-30: 细节向公众公开
任意上传getshell
看见前人提交了一个 WooYun: 强智教务系统通杀Getshell(提权服务器内网渗透) ,我也来提交一下。。。1,任意文件上传漏洞文件 /jwgl/jxjh/JxjhXGBc.asp部分源码如下:
<%OPTION EXPLICIT%><!--#include FILE="upfile_class.asp"--><%server.ScriptTimeout =10000000dim upfile,formPath,ServerPath,FSPath,formName,FileName,oFileset upfile=new upfile_class ''建立上传对象upfile.GetData (10240000) '取得上传数据,限制最大上传10M%><html><head><title>文件上传 - 长沙市强科技发展有限责任公司·版权所有</title><style type="text/css"><!--.p9{ font-size: 9pt; font-family: 宋体 }--></style><meta http-equiv="Content-Type" content="text/html; charset=gb2312"></head><body leftmargin="20" topmargin="20" class="p9"><p class="tx1"><font color="#0000FF" size="1"></font></p><hr size=1 noshadow width=300 align=left><%if upfile.err > 0 then '如果出错 select case upfile.err case 1 Response.Write "你没有上传数据呀???是不是搞错了??" case 2 Response.Write "你上传的文件超出我们的限制,最大10M" end select else%><table border="1" cellpadding="0" cellspacing="0" bordercolor="#000000" class="p9" style="border-collapse: collapse"> <tr bgcolor="#CCCCCC"> <td height="25" valign='middle'> 本地文件 </td> <td valign='middle'> 大小(字节) </td> <td valign='middle'> 上传到 </td> </tr> <% FSPath=GetFilePath(Server.mappath("upfile.asp"),"\")'取得当前文件在服务器路径 ServerPath=GetFilePath(Request.ServerVariables("HTTP_REFERER"),"/")'取得在网站上的位置 for each formName in upfile.file '列出所有上传了的文件 set oFile=upfile.file(formname) FileName=upfile.form(formName)'取得文本域的值 if not FileName>"" then FileName=oFile.filename'如果没有输入新的文件名,就用原来的文件名 oFile.SaveToFile FSPath&FileName ''保存文件 %><tr> <td valign="middle" align = "left" height="20"><%=oFile.FilePath&oFile.FileName%></td> <td valign="middle" align = "center"><%=oFile.filesize%></td> <td valign="middle" align = "center"><A HREF="<%=serverpath&FileName%>" title = "<%=serverpath&FileName%>"><%=FileName%></A></td> </tr><% set oFile=nothing next%> <tr> <td colspan="3" height="25" valign='middle'> 一共上传了<%=upfile.file.Count%>个文件</td> </tr><%end ifset upfile=nothing '删除此对象%></table><p></p></p>[<a href="javascript:history.back();">返回</a>]</body></html><%function GetFilePath(FullPath,str) If FullPath <> "" Then GetFilePath = left(FullPath,InStrRev(FullPath, str)) Else GetFilePath = "" End IfEnd function%>
可以看出该文件无任何访问验证,getshell可参考上述大牛构造的exp
1,任意文件上传,给出3例供CNCERT测试
增加上传页面验证,对上传文件做白名单过滤
危害等级:无影响厂商忽略
忽略时间:2014-12-30 14:44
暂无
