漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2012-09838
漏洞标题:Phpcms 2008 sp4服务器任意文件下载漏洞
相关厂商:phpcms
漏洞作者: 小胖子
提交时间:2012-07-18 15:53
修复时间:2012-07-23 15:54
公开时间:2012-07-23 15:54
漏洞类型:任意文件遍历/下载
危害等级:低
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2012-07-18: 细节已通知厂商并且等待厂商处理中
2012-07-23: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
admin.php在对filemanager进行调用时,filemanager对文件目录没有很好的限定,导致可以下载服务器上任意可读文件,导致敏感信息泄露或者跨站。
详细说明:
发现这个漏洞源于对www.wodota.com/test.txt的一次检测
社工进入后台,文件管理器能用,后缀限制,加上服务器有变态是智创IIS防火墙,导致特殊文件夹,注入,解析漏洞等等,都不能用,最终发现这个漏洞,并在C盘下智创目录下载了智创IIS防火墙的配置文件,得到了防火墙账号及md5密码,通过web管理关掉防火墙,才得以进一步渗透。
来看admin目录下的filemanager.inc.php文件
"?mod=$mod&file=$file&action=edit&fname=$mkfile&dir=".urlencode($dir));
这是edit的代码,当然down就一样了,fname虽然不好限定,但是前后没有对$dir做任何限制,所以可以导致自定义dir来下载文件。
比如构造下载php.ini
http://www.abc.com/admin.php?mod=phpcms&file=filemanager&action=down&fname=C%3A%2php%2php.ini&dir=./php/
经测试可以下载任意可读文件,利用价值也是比较好的,比如旁站的时候读取别人的数据库配置文件。目测phpcms V9存在同样问题,没有测试,有兴趣的可以测试下。
漏洞证明:
修复方案:
你懂的。
版权声明:转载请注明来源 小胖子@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-07-23 15:54
厂商回复:
漏洞Rank:9 (WooYun评价)
最新状态:
暂无
漏洞评价:
评论
-
@小胖子 你确定么?
-
@Coody 不确定我怎么能下载防火墙的配置文件呢,亲~~
-
@小胖子 看来是真的哈~~··~~
-
@king 能进后台也不一定有shell哦,有文件管理器也不一定有shell哦,这个只是提一下,能帮助渗透的思路~~
-
@Master autodellogfile = 3; 登录时的用户名和密码,默认密码 12345678; 密码 password 为md5加密后的值,请不要在这里修改,以免修改之后无法登陆。; 修改密码请参考《WEB在线远程管理向导》 http://www.zcnt.com/webadmin.aspusername =wodotapassword =这是配置文件里面的说明,我down下来看,确实也md5解出来了~~
( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)