当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-042746

漏洞标题:成都市某管理局网上报建大厅任意文件上传漏洞

相关厂商:成都市规划管理局网上报建大厅

漏洞作者: 袋鼠妈妈

提交时间:2013-11-13 10:07

修复时间:2013-12-28 10:08

公开时间:2013-12-28 10:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-11-13: 细节已通知厂商并且等待厂商处理中
2013-11-17: 厂商已经确认,细节仅向厂商公开
2013-11-27: 细节向核心白帽子及相关领域专家公开
2013-12-07: 细节向普通白帽子公开
2013-12-17: 细节向实习白帽子公开
2013-12-28: 细节向公众公开

简要描述:

成都市某管理局网上报建大厅任意文件上传漏洞

详细说明:

地址:

http://netspnew.cdgh.gov.cn/


1.GIF


1.“报建申请”随便选择一个项目,如:

http://netspnew.cdgh.gov.cn/UserApply.aspx?type=5


2.选择上传

2.GIF


3.GIF


3.虽然在上传时,用TamperData没有抓到有用的内容,但经过上传不同后缀的文件发现一点:任何文件上传后文件名修改为1,如有多个同类型文件,则依次为2、3等。
虽然上传没有抓到东西,这个删除按钮,就不信不会与服务器交互,点击“删除”按钮:
抓包:

POSTDATA=a=%5B2013%5D35104229&b=1.aspx


转换之后就是POSTDATA=a=[2013]35104229&b=1.aspx
判断[2013]35104229应该是为文件夹名称。

5.GIF


4.但是还是不够.没有获取到真正的路径,回过头再来看看页面内容,对于"选择文件"按钮的内容:

<object id="upfile_0Uploader" width="120" height="30" type="application/x-shockwave-flash" data="js/uploadify.swf" style="visibility: visible;">
<param name="quality" value="high">
<param name="wmode" value="opaque">
<param name="allowScriptAccess" value="sameDomain">
<param name="flashvars" value="uploadifyID=upfile_0&pagepath=/&buttonText=%E9%80%89%E6%8B%A9%E6%96%87%E4%BB%B6&script=UploadHandler.ashx&folder=FileUpload/%5B2013%5D35104229&scriptData=fileTxtname%3D&width=120&height=30&wmode=opaque&method=get&queueSizeLimit=999&simUploadLimit=999&fileDesc=图片文件(*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif)&fileExt=*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif&auto=true&sizeLimit=5242880&fileDataName=Filedata&queueID=showupfile_0">


看起来是通过uploadify.swf上传,解码之后:

<object id="upfile_0Uploader" width="120" height="30" type="application/x-shockwave-flash" data="js/uploadify.swf" style="visibility: visible;">
<param name="quality" value="high">
<param name="wmode" value="opaque">
<param name="allowScriptAccess" value="sameDomain">
<param name="flashvars" value="uploadifyID=upfile_0&pagepath=/&buttonText=选择文件&script=UploadHandler.ashx&folder=FileUpload/[2013]35104229&scriptData=fileTxtname=&width=120&height=30&wmode=opaque&method=get&queueSizeLimit=999&simUploadLimit=999&fileDesc=图片文件(*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif)&fileExt=*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif&auto=true&sizeLimit=5242880&fileDataName=Filedata&queueID=showupfile_0">


folder=FileUpload/[2013]35104229&scriptData=fileTxtname=


这下全有了,上传ASPX木马文件路径为:

http://netspnew.cdgh.gov.cn/fileupload/[2013]35104229/1.aspx


4.GIF


进入查看UserApply.aspx页面代码,和分析的一样:

$('#'+_id+'').uploadify({
                'uploader': 'js/uploadify.swf',
                'script': 'UploadHandler.ashx',
                'cancelImg': 'js/uploadify-cancel.png',
                'folder': 'FileUpload/'+applyid,
				'method':"get",
                'scriptData':{fileTxtname:escape(_filename)},
                'multi': false,
                'auto': true,
                'queueID': _showid,
                'queueSizeLimit': 999,
                'simUploadLimit': 999,
                'buttonText': '选择文件',
                'sizeLimit':5*1024*1024,
                'fileExt': '*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif',
                'fileDesc': '图片文件(*.png;*.doc;*.gif;*.jpg;*.bmp;*.jpeg;*.doc;*.docx;*.xls;*.ppt;*.txt;*.pdf;*.rar;*.zip;*.tif)',
                'removeCompleted': true,
			    'onSelectOnce': function (event, data) {
						     $("showname").val(_filename);
			
			    $('#status-message').text(data.filesSelected + ' 个文件加入上传队列');
                },
                'onComplete': function (event, queueId, fileObj, response, data) {
                    //alert(response.split('|')[1]); //这里获取上传后的URL路径,用来在前台显示 
					//alert(_filenum.val(parseInt(_filenum.val())+1)+response);


另,不用TamperData而直接用抓包工具,在上传的时候就能够获取到URL:

22.GIF

漏洞证明:

Z1.GIF

Z2.GIF


Shell地址(请删除):

http://netspnew.cdgh.gov.cn/fileupload/[2013]35104229/1.aspx

修复方案:

修复

版权声明:转载请注明来源 袋鼠妈妈@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2013-11-17 21:21

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给四川分中心,由其后续联系网站管理方处置。该案例文件上传测试的TamperData分析还是比较好的。

最新状态:

暂无