当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-081470

漏洞标题:qibocms 地方门户系统文件包含致无限制Getshell

相关厂商:齐博CMS

漏洞作者: ′雨。

提交时间:2014-10-31 13:59

修复时间:2015-01-29 14:00

公开时间:2015-01-29 14:00

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-31: 细节已通知厂商并且等待厂商处理中
2014-10-31: 厂商已经确认,细节仅向厂商公开
2014-11-03: 细节向第三方安全合作伙伴开放
2014-12-25: 细节向核心白帽子及相关领域专家公开
2015-01-04: 细节向普通白帽子公开
2015-01-14: 细节向实习白帽子公开
2015-01-29: 细节向公众公开

简要描述:

好歹是一般应用 注入都走了小厂商 这个上个首页把。
无需登录 无任何限制条件。
demo测试

详细说明:

在/hr/listperson.php中

$template_file=getTpl("list_$fidDB[mid]",$FidTpl['list']);//注意这里的$FidTpl 这里并没有初始化 导致可以控制
fetch_label_value(array('pagetype'=>'4','file'=>$template_file,'module'=>$webdb['module_id']));
require(ROOT_PATH."inc/head.php");
require($template_file)//包含;


getTpl 来看看这个

function getTpl($html,$tplpath=''){
	global $STYLE;
//这里的$tplpath可控的
	if($tplpath&&file_exists($tplpath)){
		return $tplpath;//如果文件存在 那么就直接return
	}elseif($tplpath&&file_exists(Mpath.$tplpath)){
		return Mpath.$tplpath;
	}elseif(file_exists(Mpath."template/$STYLE/$html.htm")){
		return Mpath."template/$STYLE/$html.htm";
	}else{
		return Mpath."template/default/$html.htm";
	}
}


require($template_file) //return后就直接包含了 没限制后缀 导致了可以直接包含任意格式的 所以 无需截断 。
再找找哪里能上传图片。 找了半天 都是需要登录的上传。
终于找到了一处不需要登录的上传
http://life5.qibosoft.com/hy/choose_pic.php
上传后 直接包含

q9.jpg


Getshell

漏洞证明:

q9.jpg

修复方案:

限制后缀啥的?不懂。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-31 14:15

厂商回复:

感谢提出来!

最新状态:

暂无