当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130602

漏洞标题:eduwind在线教育系统getshell

相关厂商:eduwind.com

漏洞作者: 牛肉包子

提交时间:2015-07-31 11:19

修复时间:2015-11-03 01:00

公开时间:2015-11-03 01:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-31: 细节已通知厂商并且等待厂商处理中
2015-08-05: 厂商已经确认,细节仅向厂商公开
2015-08-08: 细节向第三方安全合作伙伴开放
2015-09-29: 细节向核心白帽子及相关领域专家公开
2015-10-09: 细节向普通白帽子公开
2015-10-19: 细节向实习白帽子公开
2015-11-03: 细节向公众公开

简要描述:

rt

详细说明:

看到
\protected\controllers\MeController.php

/**
	 * 设置用户基本信息
	 * Enter description here ...
	 */
	public function actionSetBasic(){
		//		$model = new UserInfo
		$user = UserInfo::model()->findByPk(Yii::app()->user->id);
		if(isset($_POST['UserInfo'])){
			$user->attributes = $_POST['UserInfo'];
			if($user->save()){
				Yii::app()->user->setFlash('success','保存信息成功!');
			}else{
				Yii::app()->user->setFlash('error','保存信息失败!');
			}
		}
		$this->render('setBasic',array('model'=>$user));
	}


直接$_POST['UserInfo'])然后就调用save方法了。
可以看到数据库的设计

QQ截图20150731015013.png


通过isAdmin字段判断是否为管理员。
我们可以在修改个人资料地方,直接将账号提升为管理员。

QQ截图20150731015227.png


QQ截图20150731015336.png


然后先退出一次,然后直接进入后台

QQ截图20150731015504.png


漏洞证明:

然后getshell
在上传logo的地方没有过滤,直接上传php脚本

QQ截图20150731015628.png


然后官网已经shell
http://test.eduwind.com//uploads/setting/site/logo_1438277709.php

QQ截图20150731015712.png


什么都没动

修复方案:

判断一下字段的合法性

版权声明:转载请注明来源 牛肉包子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-08-05 00:59

厂商回复:

多谢提醒!

最新状态:

暂无