当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-018928

漏洞标题:WSS 项目管理系统 Post get shell

相关厂商:http://www.wssys.net/zh-CN/

漏洞作者: hfy

提交时间:2013-02-20 10:16

修复时间:2013-02-20 10:16

公开时间:2013-02-20 10:16

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-02-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-02-20: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

POST 数据
漏洞文件执行任意后缀文件保存

详细说明:

漏洞文件/chart/php-ofc-library/ofc_upload_image.php
利用:
/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名
Post任意数据
保存位置http://localhost/chart/tmp-upload-images/hfy.php

2.jpg


3.jpg


最新版wss漏洞文件,即使是收费版本也有的,在新浪商店部署的demo~

<?php
//
// In Open Flash Chart -> save_image debug mode, you
// will see the 'echo' text in a new window.
//
/*
 
print_r( $_GET );
print_r( $_POST );
print_r( $_FILES );
print_r( $GLOBALS );
print_r( $GLOBALS["HTTP_RAW_POST_DATA"] );
*/
// default path for the image to be stored //
$default_path = '../tmp-upload-images/';
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
// full path to the saved image including filename //
$destination = $default_path . basename( $_GET[ 'name' ] ); 
echo 'Saving your image to: '. $destination;
// print_r( $_POST );
// print_r( $_SERVER );
// echo $HTTP_RAW_POST_DATA;
//
// POST data is usually string data, but we are passing a RAW .png
// so PHP is a bit confused and $_POST is empty. But it has saved
// the raw bits into $HTTP_RAW_POST_DATA
//
$jfh = fopen($destination, 'w') or die("can't open file");
fwrite($jfh, $HTTP_RAW_POST_DATA);
fclose($jfh);
//
// LOOK:
//
exit();
//
// PHP5:
//
// default path for the image to be stored //
$default_path = 'tmp-upload-images/';
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
// full path to the saved image including filename //
$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] ); 
// move the image into the specified directory //
if (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {
    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";
} else {
    echo "FILE UPLOAD FAILED";
}
?>


漏洞证明:

66.jpg


44.png


修复方案:

这个漏洞文件就是个杯具,怎么破,加权限验证,后缀等验证~,自己搞

版权声明:转载请注明来源 hfy@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-02-25 11:16 | WSS Lab(乌云厂商)

    感谢反馈,该漏洞已修复。

  2. 2013-02-26 00:55 | hfy ( 路人 | Rank:5 漏洞数:3 | 打了个狗~)

    @WSS Lab 来个rank?

  3. 2013-02-27 10:11 | WSS Lab(乌云厂商)

    @hfy 这个漏洞没有关联到我们名下,所以我们处理不了,不过可以送您个礼物。您可以把联系方式发给我们。