当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-020667

漏洞标题:ROYCMS漏洞之三,普通权限严重的越权操作以及后台getshell,果断可进服务器

相关厂商:roycms.cn

漏洞作者: wefgod

提交时间:2013-03-25 23:38

修复时间:2013-03-30 23:39

公开时间:2013-03-30 23:39

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-03-25: 细节已通知厂商并且等待厂商处理中
2013-03-30: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

服务器有狗狗,动不动就来这个
您的请求带有不合法的参数,谢谢合作!
来自安全狗工作室-网站安全狗软件的友好提示
不过RP好,普通权限成管理员……然后还直接可以过狗狗!

详细说明:

先说一下有一个“审稿员”账户的相关信息获取途径,也就是之前提到的漏洞二里面,说到登录了官方的邮箱,在一封邮件内看见如下图的内容:

.png


然后的然后就是继续讨论这次的漏洞了。
测试这个账号是可以登录成功后台的,而且权限是审稿员:

20130325225033.gif


20130325230824.gif


然后,只要可以登录到后台,就可以直接添加一个超级管理员的账户:

.jpg


直接就可以用该账户登录…………接着,getshell就放到漏洞证明说吧。

漏洞证明:

上面刚添加了一个账户roytest,利用该账户登录后,什么七七八八被狗狗拦截各种神奇提示怎么纠结之类的,就不提了。直入主题getshell吧,来到文件管理这:

20130325232833.gif


图上标红的框,就是ZIP上传,就是利用该上传方式可以直接绕过安全狗的检测,构造一个如CMS_UFile.zip的zip包,里面包含了一个文件夹CMS_UFile和一个aspx文件,直接提示 上传并解压成功!!
进入到CMS_UFile这个目录,就可以看见a.aspx写入文件夹成功了:

1.jpg


直接连接就可以成功看见服务器的目录和文件了:

20130325233410.gif


asp.net的权限是网络服务的权限,具体一些有危害的操作,我们在这就不进一步的演示了。

修复方案:

1.账号权限限制的问题,上面的例子里面就提到了比如“添加超级管理员”这个问题,按理来说审稿员不应该有添加用户的权限;
2.上传的问题,可能还是考虑下zip上传是否真有必要。
3.编辑上面的东西很辛苦啊……求审核通过!

版权声明:转载请注明来源 wefgod@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-03-30 23:39

厂商回复:

漏洞Rank:17 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2013-03-25 23:39 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    管理这么晚还没睡额。。

  2. 2013-03-25 23:40 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @px1624 连载了,就直接让过了,早点休息啊这位兄台!

  3. 2013-03-25 23:43 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @wefgod 额,貌似是不用审核的漏洞类型额

  4. 2013-03-25 23:44 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @px1624 我上篇不是这个类型,也一样一下出现了。

  5. 2013-03-25 23:45 | px1624 ( 普通白帽子 | Rank:1036 漏洞数:175 | px1624)

    @wefgod 不是xss的 就是秒过~

  6. 2013-03-25 23:58 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @px1624 没有吧··我有一些是sql注入的也一样是要审核(有的就直接不审核了)

  7. 2013-03-31 00:04 | 3King ( 普通白帽子 | Rank:1129 漏洞数:92 | 【study at HNUST】非常感谢大家的关注~ 大...)

    普通白帽子提交的漏洞貌似都是无需审核的。。。

  8. 2013-03-31 00:24 | 小鸡鸡 ( 实习白帽子 | Rank:40 漏洞数:10 )

    @wefgod @wefgod 这个马过狗吗 发我份啊 1321212165@qq.com

  9. 2013-03-31 11:19 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @3King 不是,我有很多都要审核。比如之前的那些什么亿邦动力网,而且还有好多个没审核的现在

  10. 2013-03-31 11:23 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @小鸡鸡 不是马的问题。我也说是RP好了

  11. 2013-03-31 15:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    厂商真让人伤心啊。@ROYcms 下次连载多一两个看看,不行就让他自生自灭了

  12. 2013-03-31 18:07 | .许仙 ( 路人 | Rank:3 漏洞数:2 | 花开,若相惜。花落,莫相离。)

    @wefgod http://wooyun.org/upload/201303/252335014adff00fd1d306970a5cc114383b166b.gif 楼主你这是神马神器啊?求分享 wo@rini.ma

  13. 2013-04-01 07:39 | 雅柏菲卡 ( 普通白帽子 | Rank:1213 漏洞数:234 | 雙魚座聖鬥士雅柏菲卡)

    o(╯□╰)o