当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-09305

漏洞标题:Oblog 4.5-4.6 access&mssql getshell 0day

相关厂商:悠悠易(北京)网络科技有限公司

漏洞作者: Henry

提交时间:2012-07-06 22:53

修复时间:2012-07-06 22:53

公开时间:2012-07-06 22:53

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-07-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2012-07-06: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

由于程序猿的逻辑判断出错,导致可通过IIS解析漏洞直接生成WEBSHELL权限。

详细说明:

影响范围:4.5 - 4.6
漏洞需求: IIS6.0\开启会员
挖掘作者:henry
绝对原创,技术含量不高,但影响范围比较广..
邮箱是QQ号码求匿..
漏洞文件:

AjaxServer.asp (372行)
log_filename = Trim(Request("filename"))//未过滤自定义文件名AjaxServer.asp (259行)(关键)
If (oblog.chkdomain(log_filename) = False And log_filename <> "") and isdraft<>1 Then oblog.adderrstr ("文件名称不合规范,只能使用小写字母以及数字!")


逻辑错误,只要有一个条件不满足,则跳过.请看:
206行 

isdraft = Int(Request("isdraft")) //可控


isdraft=1

则成功跳过

漏洞证明:

漏洞利用:
⒈ 注册会员,发表一日志。
⒉ 修改日志,高级选项,文件名称这里写abcdefg,内容为一句话木马源码。然后抓包保存。
⒊ 修改表单数据,将filename改为a.asp;x,isdraft参数为1,提交表单。
⒋ 回到博文管理,选择重新发布日志,日志地址则为SHELL地址。
tips: 若博文目录不可, 则可控制filename=../../data/a.asp;x

修复方案:

AjaxServer.asp (259行)(关键)
If (oblog.chkdomain(log_filename) = False And log_filename <> "") 

and

isdraft<>1 Then oblog.adderrstr ("文件名称不合规范,只能使用小写字母以及数字!")</code>
将and改为or即可防止

版权声明:转载请注明来源 Henry@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2012-07-06 23:30 | 随风.潜入夜 ( 路人 | Rank:22 漏洞数:5 )

    你没有看过生成后的代码吧?<>符号都被过滤成了 HTML的gt lt 无法解析,即便是变形一句话也不会解析。

  2. 2012-07-07 19:47 | Henry ( 路人 | Rank:0 漏洞数:1 | Null)

    方法一:可通过修改日志模版(有的可能需要等级权限)方法二:将编辑器改为代码模式,或者通过NC提交。都通过测试确认,网络上已有人写出利用工具 :)

  3. 2012-07-30 22:46 | network ( 路人 | Rank:7 漏洞数:2 | 我是帅哥)

    4.5的是可以 请问你有下载过最新源码吗 。

  4. 2012-07-31 00:06 | 随风.潜入夜 ( 路人 | Rank:22 漏洞数:5 )

    @network 测试的4.6关键字转意了

  5. 2012-07-31 12:14 | network ( 路人 | Rank:7 漏洞数:2 | 我是帅哥)

    @随风.潜入夜 yes 主要是我下载的代码和他贴出来的都不一样。4.5可以的

  6. 2013-12-30 18:16 | door ( 路人 | Rank:10 漏洞数:1 | 没什么说明)

    @Henry 修改日志模板?