当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08378

漏洞标题:(第N次)用友ICC网站客服系统任意文件上传漏洞

相关厂商:用友软件

漏洞作者: 鬼哥

提交时间:2012-06-16 22:32

修复时间:2012-07-31 22:33

公开时间:2012-07-31 22:33

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-16: 细节已通知厂商并且等待厂商处理中
2012-06-18: 厂商已经确认,细节仅向厂商公开
2012-06-21: 细节向第三方安全合作伙伴开放
2012-08-12: 细节向核心白帽子及相关领域专家公开
2012-08-22: 细节向普通白帽子公开
2012-09-01: 细节向实习白帽子公开
2012-07-31: 细节向公众公开

简要描述:

用友ICC网站客服系统任意文件上传漏洞已经暴过很多次了,上次我也暴了个 昨天看了下代码发现还有个地方存在任意上传。官方修复确实不彻底呀!!

详细说明:

漏洞文件:/5107/include/sendmsg.class.php

function saveAttach() {
		global $errorMsg, $lang, $CONFIG, $COMMON, $basePath;
		
		if (empty($_FILES["attach"]["name"])) return '';
		//生成留言附件保存目录.
		$path = 'data/leavewordfile/'.date("Ymd").'/';
		if (!is_dir($CONFIG->basePath.$path))	{
			 $COMMON->createDir($CONFIG->basePath.$path);
		}
		
		//文件名.
		$fileName = date('YmdHis').rand(100000, 999999).strrchr($_FILES['attach']['name'], '.');
		$sysFileName = $CONFIG->basePath.$path.$fileName;
		$urlFileName = $CONFIG->baseUrl.$path.$fileName;
		
		if (!empty($_FILES['attach']['name'])) {
			//附件文件非空时检测文件是否合法.
			if ($this->checkFileType(strrchr($_FILES['attach']['name'], '.'))) {
				//附件文件类型不合法//
				$errorMsg .= $lang['attach_type'];
			}else if ($_FILES['attach']['size'] >= 5242880 || $_FILES['attach']['size'] <= 0) {
				//附件文件大小不合法/
				$errorMsg .= $lang['attach_size'];
			}
		}
		
		//上传附件//
		move_uploaded_file($_FILES["attach"]["tmp_name"], $sysFileName);
		chmod($sysFileName, 0444);
		return $urlFileName;	
	}


没过滤啊。。导致可以直接上传php
具体利用:
打开:http://xxx.com/5107/msg/sendmsg.php 附件那里直接传php
上传后的地址会在 /data/leavewordfile/日期/随即文件名.php
文件名虽然随即了。 但是可以拿工具扫猜。基本上只是时间问题 !

漏洞证明:

随便找了个站测试如下↓

修复方案:

过滤拉。
希望不要再让我找到你们的这类漏洞哦。。

版权声明:转载请注明来源 鬼哥@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-06-18 09:30

厂商回复:

已确认在基于部分特定发布版本的代码及其分支确实存在此问题,上传的文件名随机但可能被猜测,目前开发人员正在修复此问题并审查文件上传功能相关的所有代码,万分感谢 鬼哥@乌云 对ICC产品的安全性提升的巨大帮助。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-06-16 22:36 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    — —

  2. 2012-06-16 22:40 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    = = 囧

  3. 2012-06-16 22:43 | Moments ( 实习白帽子 | Rank:55 漏洞数:10 | 2)

    让官方直接聘你去修复吧 哈哈

  4. 2012-06-16 23:00 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @Moments 哈哈。。

  5. 2012-06-17 05:44 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    囧。

  6. 2012-06-17 08:27 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @鬼哥 去哪下载源代码?

  7. 2012-06-17 12:19 | 鬼哥 ( 普通白帽子 | Rank:136 漏洞数:13 | 鬼哥 !!!!)

    @possible 拿个shell在打包下。

  8. 2012-06-17 14:06 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    @鬼哥 哦膜拜 我说怎么找不到呢 呵呵

  9. 2012-07-11 21:59 | Cp0204 ( 实习白帽子 | Rank:37 漏洞数:4 | 著名艺术家)

    怎么都搞用友的ICC上传呢,哈哈

  10. 2012-08-01 02:11 | also ( 普通白帽子 | Rank:424 漏洞数:52 | 招渗透/php/前端/ios&android安全,广州地...)

    @用友软件 感谢是对的,应该给点鼓励,他会更给力!