漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-034315
漏洞标题:TRS WCM 6.X系统任意文件写入漏洞
相关厂商:北京拓尔思信息技术股份有限公司
漏洞作者: 鶆鶈
提交时间:2013-08-14 08:55
修复时间:2013-09-28 08:56
公开时间:2013-09-28 08:56
漏洞类型:文件上传导致任意代码执行
危害等级:中
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-08-14: 细节已通知厂商并且等待厂商处理中
2013-08-14: 厂商已经确认,细节仅向厂商公开
2013-08-24: 细节向核心白帽子及相关领域专家公开
2013-09-03: 细节向普通白帽子公开
2013-09-13: 细节向实习白帽子公开
2013-09-28: 细节向公众公开
简要描述:
可以直接向服务器写入文件,文件名和内容可自定义;
影响版本未知,大概是6.X吧,收费的家伙也没条件一一测试;
是否通用未知,网上搜索了几个,都存在这问题。
详细说明:
TRS WCM的Web Service提供了向服务器写入文件的方式,可以直接写jsp文件获取webshell。
Web Service路径:http://xx~/wcm/services,web service信息大概是这个样子的:
经测试其中trs:templateservicefacade服务的writeFile和writeSpecFile两个操作都可以向服务器写入文件,其它还有些sendFileBase64、uploadFile之类的没试过了。
1.writeFile和writeSpecFile两个操作参数差不多,第一个参数都是base64加密后的文件内容;
2.writeFile方式会返回物理路径,使用writeSpecFile前需要用writeFile获取路径;
3.writeFile第二参数是文件后缀名,在windows版本下可以利用../跳转目录;
4.writeSpecFile第二个参数是文件绝对路径,这个就随便搞了;
5.访问大部分JSP页面时系统经常会验证是否登陆,否则跳转,一般写这几个地方就OK(这几个默认是没有的):
~/wcm/index.jsp
~/wcm/demo/index.jsp
~/wcm/include/login.jsp
...more...
6.注意:writeSpecFile会覆盖原文件,writeFile则会返回失败,不会覆盖原文件;
7....
漏洞证明:
这个我没试过,图片是别人发给我的,我不大清楚咧。
writeFile:
writeSpecFile:
修复方案:
NULL.
版权声明:转载请注明来源 鶆鶈@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2013-08-14 16:37
厂商回复:
非常感谢您的反馈,我们已确认问题并制定修复方案,马上会发布安全更新。
最新状态:
2013-10-12:该问题已在8月完成修复,感谢大家对TRS产品安全的关注和支持,我们会一直努力!