漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-076547
漏洞标题:泛微某系统漏洞集合(不拿shell不是合格的白帽子)
相关厂商:cncert国家互联网应急中心
漏洞作者: 路人甲
提交时间:2014-09-19 19:13
修复时间:2014-12-18 19:14
公开时间:2014-12-18 19:14
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-09-19: 细节已通知厂商并且等待厂商处理中
2014-09-24: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向第三方安全合作伙伴开放
2014-11-18: 细节向核心白帽子及相关领域专家公开
2014-11-28: 细节向普通白帽子公开
2014-12-08: 细节向实习白帽子公开
2014-12-18: 细节向公众公开
简要描述:
连锁反应...走起...
SQL注入 --- 文件上传(需登录) --- 文件上传(无需登录)
详细说明:
继续 e-cology ...
WooYun: 泛微某系统通用型SQL注入(无需登录)
无奈走了小厂商流程... ̄□ ̄||
--------------
通过之前的SQL注入,可轻易的获取登录帐号。
测试过程中,找了两个存在弱口令的系统直接登录(并未跑取数据)。
发现漏洞如下:①登录状态下的文件上传②无需登录直接getshell
--------------
① 登录状态下的文件上传导致任意代码执行漏洞
漏洞模块为:我的邮件 -- 联系人 -- 导入 -- 以逗号为分隔符的CVS文件
漏洞描述:对于用户上传的文件格式未进行限制且并未重命名文件名,可导入jsp文件。通过查看数据包,得到存储的路径为:webroot/email/csv/ 。最终得到的文件路径为:http://www.xxoo.com/email/csv/上传的文件名.jsp
漏洞证明:
http://oa.nws.gov.cn/email/csv/wooyun.jsp
http://oaf.yitoa.com:6688/email/csv/wooyun.jsp
② 无需登录直接getshell
在程序目录中翻了又翻,发现 tools/SWFUpload/upload.jsp ,并未验证当前用户是否为登录状态,提交文件,可直接写入根目录下。最终得到的文件访问路径为:http://www.xxoo.com/null上传的文件名.jsp
本地构造提交表单
漏洞证明:
http://220.248.243.186:8081/nullwooyun.jsp
http://oa.hnnc.net:82/nullwooyun.jsp
http://oa.yangtzeu.edu.cn/nullwooyun.jsp
漏洞证明:
部分案例供cncert国家互联网应急中心测试:
http://gl.triolion.com/
http://zmoa.warom.com:801/
http://www.yzjoa.com/
http://oa.nws.gov.cn/
http://www.cweme.net/
http://cyoa.warom.com:803/
http://220.248.243.186:8081/
http://sys.cdc.zj.cn/
http://cygf.warom.com:805/
http://oa.cncie.com/
http://oa.uuzz.com/
http://oa.hnnc.net:82/
http://oa.yangtzeu.edu.cn/
http://oaf.yitoa.com:6688/
… More …
修复方案:
①对于测试中躺枪的站点深表歉意。
②厂商的态度是所有白帽子们的根本动力。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2014-09-24 08:29
厂商回复:
最新状态:
暂无