当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-04683

漏洞标题:中国联通客服平台任意文件上传

相关厂商:中国联通

漏洞作者: only_guest

提交时间:2012-02-21 11:34

修复时间:2012-04-06 11:35

公开时间:2012-04-06 11:35

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-21: 细节已通知厂商并且等待厂商处理中
2012-02-21: 厂商已经确认,细节仅向厂商公开
2012-03-02: 细节向核心白帽子及相关领域专家公开
2012-03-12: 细节向普通白帽子公开
2012-03-22: 细节向实习白帽子公开
2012-04-06: 细节向公众公开

简要描述:

中国联通客服平台任意文件上传导致可以获取webshell.

详细说明:

采用了用友的ICC客服系统.该系统存在严重安全隐患
http://help.10010.com/5107https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/uploadFlash.php
代码如下

<?php
/**
 * uploadFlash.php
 * Flash文件上传.
 */
require_once('../global.inc.php');
//operateId=1 上传,operateId=2 获取地址.
$operateId	= intval($_REQUEST['operateId']);
if(empty($operateId)) exit;
if($operateId == 1){
	$date = date("Ymd");
	$dest = $CONFIG->basePath."data/files/".$date."/";
	$COMMON->createDir($dest);
	//if (!is_dir($dest))	mkdir($dest, 0777);
	
	$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));
	
	$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');
	
	if(!in_array($nameExt, $allowedType)){
		$msg = 0;
	}
	if(empty($msg)){
		$filename = getmicrotime().'.'.$nameExt;
		$file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);
		
		$filename = $dest.$filename;
		if(empty($_FILES['Filedata']['error'])){
			move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);
		}
		
		if (file_exists($filename)){
			//$msg = 1;
			$msg = $file_url;
			@chmod($filename, 0444);
		}else{
			$msg = 0;
		}
	}
	$outMsg = "fileUrl=".$msg;
	$_SESSION["eoutmsg"] = $outMsg;
	exit;
}else if($operateId == 2){
	$outMsg = $_SESSION["eoutmsg"];
	if(!empty($outMsg)){
		session_unregister("eoutmsg");
		echo '&'.$outMsg;
		exit;
	}else{
		echo "&fileUrl=0";
		exit;
	}
}
function getmicrotime(){ 
    list($usec, $sec) = explode(" ",microtime()); 
    return ((float)$usec + (float)$sec); 
}
?>


存在逻辑错误.可以导致任意文件上传.

漏洞证明:

http://help.10010.com/data/files/20111109/1320824790.09.php
上面为一句话后门地址
密码为only

修复方案:

找用友升级一下吧.

版权声明:转载请注明来源 only_guest@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2012-02-21 20:41

厂商回复:

CNVD确认漏洞存在且确认测试后门存在。
CNVD对本漏洞评分如下:
基本得分CVSS:(AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:C) score:10.00(高危)
技术难度系数:1.1(有一定难度)
影响危害系数:1.5(较严重)
CNVD综合评分:10.00*1.1*1.5=16.5

最新状态:

暂无

漏洞评价:

评论

  1. 2012-03-23 10:11 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    不会PHP 有人能解释一下 uploadFlash.php 什么地方出问题了吗?

  2. 2012-03-23 10:18 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)

    看懂了