大汉版通系统再次getshell之2 | wooyun-2014-061140| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061140

漏洞标题：大汉版通系统再次getshell之2

漏洞作者：路人甲

提交时间：2014-05-17 20:31

修复时间：2014-08-15 20:32

公开时间：2014-08-15 20:32

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-17：细节已通知厂商并且等待厂商处理中
2014-05-19：厂商已经确认，细节仅向厂商公开
2014-05-22：细节向第三方安全合作伙伴开放
2014-07-13：细节向核心白帽子及相关领域专家公开
2014-07-23：细节向普通白帽子公开
2014-08-02：细节向实习白帽子公开
2014-08-15：细节向公众公开

简要描述：

大汉版通系统再次getshell#2(前台且非setup) ，且同样存存在两处..

详细说明：

注：该系统为信息公开系统(xxgk)
#1 漏洞文件

/xxgk/m_6_1/opr_modal.jsp
/xxgk/m_6_1/attachupload.jsp

选择其一贴下漏洞代码,这里为/xxgk/m_6_1/opr_modal.jsp..

//..
if (strStatus.equals("S")) {
    blf.doUpload(request);
    out.println(Convert.getAlterScript("parent.location='./opr_modal.jsp'"));
    return;
}
//从下面可获取到文件上传的路径
if (strStatus.equals("V")) {
        int inModaltype = Integer.parseInt(strModaltype);
        entity = blf.getModal(strI_id, inModaltype);
        if (entity != null) {
            strModalName = entity.getVc_modalfilename();
        }
        String strModalPath = application.getRealPath("")
                + "/jcms_files/jcms" + strAppID + "/web" + nWebID
                + "/site/zfxxgk/ysqgk/modal/" + strModaltype + "/"
                + strModalName;
        Convert convert = new Convert();
        String strModal = convert
                .readInputStream(strModalPath, "UTF-8");
        if (Convert.getValue(strModal).length() == 0) {
            out
                    .println("<a style='font:12px;color:#FF0000'>模板文件为空</a>");
            return;
        }
        strModal = Convert.replaceString(strModal, "\"images/", "\""
                + "../jcms_files/jcms" + strAppID + "/web" + nWebID
                + "/site/zfxxgk/ysqgk/modal/" + strModaltype
                + "/images/");
        out.println(strModal);
        return;
    }
%>

从上面可以看出，文件上传仅在客户端采用javascript进行验证,服务端并没有任何的验证，可以说可以直接上传任意文件，于是造成了任意文件上传漏洞。
#2 漏洞验证
由于网上有大量的实例，任意选取一个案例进行测试验证..
这里选择

http://xxgk.weifang.gov.cn/xxgk/m_6_1/opr_modal.jsp

step1 将我们要上传的users.jsp重命名为user.htm
step2 上传时抓包，将user.htm再次命名为user.jsp即可，如下

点击GO 即可在下面目录生成user.jsp

/xxgk/jcms_files/jcms1/web0/site/zfxxgk/ysqgk/modal/1/你的文件名
注意：由于代码中上传文件的路径为：
"/jcms_files/jcms" + strAppID + "/web" + nWebID+ "/site/zfxxgk/ysqgk/modal/" + strModaltype + "/"+ 文件名;
所以路径可能要做适当的更改.@@@

#3 连接shell
shell路径为：

http://xxgk.site.cn/xxgk/jcms_files/jcms1/web0/site/zfxxgk/ysqgk/modal/1/users.jsp

如图所示

漏洞证明：

#证明
这个系统均运行在很高的权限.. 控制下吧

修复方案：

客户端的东西是不可信的

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-05-19 10:00

厂商回复：

感谢关注

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061140

漏洞标题：大汉版通系统再次getshell之2

相关厂商：南京大汉网络有限公司

漏洞作者：路人甲

提交时间：2014-05-17 20:31

修复时间：2014-08-15 20:32

公开时间：2014-08-15 20:32

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-061140

漏洞标题：大汉版通系统再次getshell之2

相关厂商：南京大汉网络有限公司

漏洞作者： 路人甲

提交时间：2014-05-17 20:31

修复时间：2014-08-15 20:32

公开时间：2014-08-15 20:32

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-061140"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云