当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0126101

漏洞标题:Gobetters远程视频会议系统任意文件上传

相关厂商:Gobetters

漏洞作者: 路人甲

提交时间:2015-07-15 11:53

修复时间:2015-10-15 15:46

公开时间:2015-10-15 15:46

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-15: 细节已通知厂商并且等待厂商处理中
2015-07-17: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-07-20: 细节向第三方安全合作伙伴开放
2015-09-10: 细节向核心白帽子及相关领域专家公开
2015-09-20: 细节向普通白帽子公开
2015-09-30: 细节向实习白帽子公开
2015-10-15: 细节向公众公开

简要描述:

无限制getshell

详细说明:

高百特网络视频会议系统支持几千人同时参加会议,支持工作会议、远程培训、产品销售、在线研讨会、咨询服务等各种应用场景,并与行业结合提供各类行业的解决方案,全高清视频和高保真音质效果突破地域的限制,丰富的多媒体互动和数据共享功能让沟通更方便。该系统存在一处任意文件上传漏洞;可导致上传任意脚本文件至WebServer。
Upload Vulnerability:

/web/department/deptsave.php  
漏洞说明:可借助下面的表单进行上传抓包测试;上传会在web菜单中添加一个子部门但不会影响系统运行;再次测试时前两文本中的名字应当不一,该漏洞形成原因主要是因为对上传的文件命名方式是取“deptcode”的值来命名,比如deptcode的值是1.php,那么最后的名字变成1.php.jpg,想到这来应该都知道可以通过00截断的方式在1.php后面截断,将.jpg给截断去就成了PHP文件了,最后PHP文件在/web/images/logo/目录下了


Case:

**.**.**.**:7921/web/department/deptsave.php 
**.**.**.**:89/web/department/deptsave.php
http://**.**.**.**:89/web/department/deptsave.php
**.**.**.**:89/web/department/deptsave.php
**.**.**.**:89/web/department/deptsave.php
**.**.**.**/web/department/deptsave.php
**.**.**.**/web/department/deptsave.php
http://**.**.**.**/web/department/deptsave.php
更多请参考官网......

漏洞证明:

Security Testing:

最后一个的官网demo但是好像目录权限很死任何文件写不进去就不测试那个了;随机挑选一个测试:
1、打开表单咯:

01.png


2、上传的时候打开burp抓包!!

02.png


03.png


3、其实shell已经躺在/web/images/logo/wooyun.php

04.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-07-17 15:44

厂商回复:

CNVD确认所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无