当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0121374

漏洞标题:某通用教育系统任意文件上传+代码分析

相关厂商:杭州东方盈动信息技术有限公司

漏洞作者: Damo

提交时间:2015-06-18 15:39

修复时间:2015-09-21 09:20

公开时间:2015-09-21 09:20

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:13

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-18: 细节已通知厂商并且等待厂商处理中
2015-06-23: 厂商已经确认,细节仅向厂商公开
2015-06-26: 细节向第三方安全合作伙伴开放
2015-08-17: 细节向核心白帽子及相关领域专家公开
2015-08-27: 细节向普通白帽子公开
2015-09-06: 细节向实习白帽子公开
2015-09-21: 细节向公众公开

简要描述:

主要有代码逻辑判断问题导致

详细说明:

系统:盈动信息发布系统
问题文件:/Admin/WebUpload.aspx
代码分析:
该系统在admin目录中已经建立了web.config并且限制了用户访问
但是代码如下:

<location path="WebUploaded.aspx">
    <system.web>
      <authorization>
        <allow users="?" />
      </authorization>
    </system.web>
  </location>
  <location path="WebUpload.aspx">
    <system.web> 
      <authorization>
        <allow users="?" />
      </authorization>
    </system.web>
  </location>


却允许部分页面可访问
既然可访问那就看WebUpload.aspx的代码

protected void Ok_Click(object sender, EventArgs e)
		{
			string text = "";
			try
			{
				string upFileType = Globals.UpFileType;/*获取允许格式白名单*/
				string text2 = this.UploadFile.PostedFile.FileName;/*获取上传的文件名*/
				bool flag = text2 != string.Empty;
				if (!flag)
				{
					text = "没有选择文件!";
				}
				else
				{
					text2 = Path.GetExtension(text2);
					int contentLength = this.UploadFile.PostedFile.ContentLength;
					text2 = text2.Remove(0, 1);
					text2 = text2.Trim();
					text2 = text2.ToLower();
					if (flag)
					{
						/*这里判断文件大小  允许上传1M大小的文件*/
						flag = (Globals.MaxFileSize == 0 || (contentLength > 0 & contentLength <= Globals.MaxFileSize * 1024));
					}
					if (!flag)
					{
						text = "文件大小超过了限制,最大只能上传" + Globals.MaxFileSize.ToString() + "K的文件!";
					}
					else
					{
						flag = (upFileType.IndexOf(text2) >= 0);/*判断后缀名*/
						if (!flag)
						{
							/*设置错误信息*/
							text = "这个文件类型不允许上传,只允许上传" + upFileType + "类型文件!";
						}
					}
					if (flag)
					{
						Globals.UploadFileNum++;
						string str = "upfile" + Globals.UploadFileNum.ToString() + "." + text2;
						string text3 = string.Concat(new string[]
						{
							"/",
							Globals.ApplicationVRoot,
							"sites/",
							Globals.CurrentSiteVirtualDirectory,
							"/",
							Globals.SaveUpFilesPath
						});
						string text4 = base.Server.MapPath(text3);
						if (text4.EndsWith("\\"))
						{
							text4 = text4.Substring(0, text4.Length - 1);
						}
						text4 = text4 + "\\" + str;
						text3 = text3 + "/" + str;
						this.UploadFile.PostedFile.SaveAs(text4);/*保存文件*/
						string returnValue = this.GetReturnValue(text3);
						if (returnValue != "")
						{
							base.Response.Write(returnValue);/*输入文件名称以及路径*/
						}
					}
				}
			}
			catch (Exception)
			{
				text = "文件没有保存!";
			}
			finally
			{
				if (text != "")
				{
					base.Response.Write("<script>alert('" + text + "')</script>");
				}
			}
		}
	}
}


利用方式:
http://www.jgedu.net/Admin/WebUpload.aspx
选择要上传的文件,“确定”
上传完毕F12查看页面代码即可得到shell
如果遇到上传完毕页面关闭之类的问题请将浏览器JavaScript禁用之后再上传 如下图

2.png

漏洞证明:

1.png


shell:
http://www.jgedu.net/sites/main/UploadFiles/upfile95621.aspx admin
案例
http://www.hzjlxx.com/Admin/WebUpload.aspx
http://www.jgedu.net/Admin/WebUpload.aspx
http://www.jhjdedu.org/Admin/WebUpload.aspx
http://www.hujys.net/Admin/WebUpload.aspx
http://www.hzjygh.org/Admin/WebUpload.aspx

修复方案:

this.UploadFile.PostedFile.SaveAs(text4);/*保存文件*/
更改为

if(string.IsNullOrEmpty(text))
{
	base.Response.Write("<script>alert('" + text + "')</script>");
	base.Response.End();//必须加
}
this.UploadFile.PostedFile.SaveAs(text4);/*保存文件*/


再有就是当前目录的web.config配置不可直接访问

版权声明:转载请注明来源 Damo@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-23 09:19

厂商回复:

CNVD确认并复现所述情况,根据实测案例,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置.

最新状态:

暂无