漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-024963
漏洞标题:传承链接管理系统 V8.64可绕过检测拿Shell
相关厂商:pplms.com
漏洞作者: 流影
提交时间:2013-06-04 16:11
修复时间:2013-09-02 16:12
公开时间:2013-09-02 16:12
漏洞类型:文件上传导致任意代码执行
危害等级:中
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-06-04: 细节已通知厂商并且等待厂商处理中
2013-06-04: 厂商已经确认,细节仅向厂商公开
2013-06-07: 细节向第三方安全合作伙伴开放
2013-07-29: 细节向核心白帽子及相关领域专家公开
2013-08-08: 细节向普通白帽子公开
2013-08-18: 细节向实习白帽子公开
2013-09-02: 细节向公众公开
简要描述:
传承链接管理系统 V8.64存在一个后台的文件更名漏洞.从而很轻松拿到Shell
详细说明:
本人提交的第一个洞洞.求乌云的老大们给个邀请哦~
测试站点:
http://3gw.asia
该网站用的是传承链接管理系统,就拿他做演示吧
首先找到他的后台页面,这个我们直接地址后面加/admin/就进去了
到了这个登陆界面
默认帐号admin
密码admin888
认证码8888
点击确定来到后台
展开系统管理这里
我们看到了一个Sql语句直接执行的连接,可是不知道是我方法不对还是怎么得 最后的时候没法写出表~
我执行语句
这样创建了一个cmd表 我们在里面插入一句话
可是还没有得到网站物理路径呢
这个从系统管理-备份恢复数据库 这里就可以找到了
d:\freehost\kulew888\web\link1\据推测这个应该就是该网站的根目录了
直接在这里写出一句话
select [cmd] from [cmd] into outfile "d:\freehost\kulew888\web\link1\1.asp"
失败~
没办法 只能在找其他的上传点了.(备份恢复数据库 写入一句话这个我也试过了 不可以的)
真正的问题还在后面.
打开这里 发现有可以利用的
这个可以直接新建
简单的试了一下
不允许直接新建asp文件,并且里面也不能有<%这样的内容
于是我先新建一个html文件 内容写的就是无%的一句话
提示非法,包含一句话
稍微修改下带代码
替换execute为eval后成功生成了1.html
html是无法成功运行我们的asp一句话的 可是这个系统这里有问题...
可以直接修改后缀名
修改为1.asp后保存成功
找到刚才显示的路径
http://3gw.asia/Template/1.asp 成功~
菜刀连接之~
漏洞证明:
修复方案:
修改默认密码,重命名文件那里编写过滤规则,我只是一彩笔,你们比我懂
版权声明:转载请注明来源 流影@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:10
确认时间:2013-06-04 17:39
厂商回复:
漏洞都补好了!
最新状态:
暂无