当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-024404

漏洞标题:句酷批改网本站任意文件上传,可导致123万数据泄漏

相关厂商:pigai.org

漏洞作者: Icyblade

提交时间:2013-05-24 15:25

修复时间:2013-07-08 15:26

公开时间:2013-07-08 15:26

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-05-24: 细节已通知厂商并且等待厂商处理中
2013-05-24: 厂商已经确认,细节仅向厂商公开
2013-06-03: 细节向核心白帽子及相关领域专家公开
2013-06-13: 细节向普通白帽子公开
2013-06-23: 细节向实习白帽子公开
2013-07-08: 细节向公众公开

简要描述:

句酷批改网是一个很多大学(清华,上交等)英语教学都在使用的在线作文批改系统
该网站某处能够上传webshell,进一步发现数据库内有123万学生老师数据

详细说明:

最开始尝试上传头像的地方,但是这里会将头像缩放到50x41(即使分辨率是50x41也会缩放),而且png会被转成jpg,难以突破
后来发现教师布置新作文的地方能够上传,并配合nginx解析漏洞成功执行:
1.点击教师注册

1.png


2.这里随便填都能过,没有任何过滤

2.png


3.邮箱验证也是幌子,只要新建标签页pigai.org就能直接进去了

3.png


4.png


4.布置新作文 -> 添加图片

5.png


6.png


5.直接传一句话,这里连文件头都不检测一下

7.png


6.布置作文,记录下作文号

8.png


9.png


7.退出,注册一个学生帐号,同样不用验证邮箱
8.输入作文号,进入该作文

10.png


9.右键->新标签页打开,拿到一句话地址

11.png


12.png


10.菜刀之,这里利用nginx解析漏洞

13.png

漏洞证明:

菜刀:

14.png


用户数据库,包括email,密码,姓名,学校,学号,选的哪个老师的班等等

15.jpg

修复方案:

修复nginx解析漏洞
所有上传入口做过滤,图片要经过缩放(比如上传头像那个地方就是缩放后输出jpg,几乎不可能绕过)
此版本linux内核可能可以提权(我失败了,可能是exp不够给力),需要管理员注意一下
修改管理员密码,cmd5上是付费的
同样在upload文件夹内我发现了其他人的一句话,此站可能已经被玩过很多次了,请管理员清理
只求不跨省,我只是想研究一下系统是怎么改卷子的,好让期末考试英语分数高一点。。。分数越改越低的学渣伤不起

版权声明:转载请注明来源 Icyblade@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-05-24 16:09

厂商回复:

对nginx解析漏洞 理解不够深入
以为d.jpg/d.php 解决了就没事情了 没及时升级nginx
最后感谢作者手下留情

最新状态:

暂无

漏洞评价:

评论

  1. 2013-05-24 16:20 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:17 | 当我又回首一切,这个世界会好吗?)

    什么话 乌云又不是黑客站 什么手下留情

  2. 2013-05-24 16:23 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @xsser 实话说 那库根本拖不动 顺便提醒厂商 有人先进去了 看见马了 已删

  3. 2013-05-30 18:17 | Icyblade ( 实习白帽子 | Rank:46 漏洞数:5 | ~)

    @句酷批改网 你这封我IP让我怎么写作业呢?

  4. 2013-06-05 20:15 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    @xsser 想这个一样,他是厂商么?

  5. 2013-06-05 20:16 | imlonghao ( 普通白帽子 | Rank:730 漏洞数:74 )

    额...没事了 看错

  6. 2013-06-05 20:16 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:141 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @imlonghao 漏洞修了还可以日。。。。没修复彻底

  7. 2013-06-24 14:31 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    修改管理员密码,下次查变免费了。。

  8. 2013-06-25 14:57 | Icyblade ( 实习白帽子 | Rank:46 漏洞数:5 | ~)

    @乌帽子 神吐槽= =

  9. 2013-07-08 15:45 | Ivan ( 实习白帽子 | Rank:81 漏洞数:9 | 小菜逼一个)

    喜闻乐见啊……直接封IP了?

  10. 2013-07-09 10:03 | warrioj4 ( 路人 | Rank:4 漏洞数:2 | 专注工具30年)

    @乌帽子 真相帝