当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-046840

漏洞标题:大汉通版jcms任意文件上传漏洞

相关厂商:南京大汉网络有限公司

漏洞作者: xcoder

提交时间:2013-12-24 10:14

修复时间:2014-03-24 10:14

公开时间:2014-03-24 10:14

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-12-24: 细节已通知厂商并且等待厂商处理中
2013-12-24: 厂商已经确认,细节仅向厂商公开
2013-12-27: 细节向第三方安全合作伙伴开放
2014-02-17: 细节向核心白帽子及相关领域专家公开
2014-02-27: 细节向普通白帽子公开
2014-03-09: 细节向实习白帽子公开
2014-03-24: 细节向公众公开

简要描述:

大汉通版jcms 任意文件上传漏洞

详细说明:

问题出在导入xml文件时,只是采用了本地js验证,没有进行服务端验证,而且对文件的访问权限没有进行任何控制,服务端也没有对上传文件的有效性进行检查导致任意文件上传,
威力巨大:

zf.jpg


部分代码:

ListTable listtable = new ListTable(request);
out.println(listtable.getListTableCssJs());

sys.initSysPara(request);

//*得到用户信息*/
jcms.entity.Merp_Pub_UserEntity userentity = UserRightBLF.getUserInfo(request);


String strFilePath = application.getRealPath("")+"/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/" ;
Convert.createDirectory(strFilePath);

CommonUploadFile upload = new CommonUploadFile(strFilePath,"");


上传地址:

http://netcenter.cau.edu.cn/jcms/m_5_5/m_5_5_3/import_style.jsp


将本能js验证去掉

QQ截图20131223202815.jpg


shell地址:http://www.target.com/jcms/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/后门文件名


shell.jpg


shell:http://netcenter.cau.edu.cn/jcms/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/yjh.jsp 密码:sx

漏洞证明:

问题出在导入xml文件时,只是采用了本地js验证,没有进行服务端验证,而且对文件的访问权限没有进行任何控制,服务端也没有对上传文件的有效性进行检查导致任意文件上传,
威力巨大:

zf.jpg


部分代码:

ListTable listtable = new ListTable(request);
out.println(listtable.getListTableCssJs());

sys.initSysPara(request);

//*得到用户信息*/
jcms.entity.Merp_Pub_UserEntity userentity = UserRightBLF.getUserInfo(request);


String strFilePath = application.getRealPath("")+"/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/" ;
Convert.createDirectory(strFilePath);

CommonUploadFile upload = new CommonUploadFile(strFilePath,"");


上传地址:

http://netcenter.cau.edu.cn/jcms/m_5_5/m_5_5_3/import_style.jsp


将本能js验证去掉

QQ截图20131223202815.jpg


shell地址:http://www.target.com/jcms/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/后门文件名


shell.jpg


shell:http://netcenter.cau.edu.cn/jcms/m_5_5/m_5_5_3/temphttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/yjh.jsp 密码:sx

修复方案:

权限控制,对上传文件后缀进行检查

版权声明:转载请注明来源 xcoder@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2013-12-24 15:58

厂商回复:

已收到,谢谢

最新状态:

2013-12-30:补充CNVD处置情况,根据测试实例,已经转由CNCERT下发给山东、贵州、湖北、江苏、浙江等分中心,由上述分中心协调处置涉及的地方政府部门网站案例。


漏洞评价:

评论

  1. 2013-12-24 10:21 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    大牛,都发出来吧,还有jget jsearch egov lm vc jiep jportal jmportal jphoto jvideo xxgk vipchat jact,期待啊……

  2. 2013-12-24 14:01 | 南京大汉网络有限公司(乌云厂商)

    help #wooyun.org

  3. 2013-12-30 00:20 | 暗夜清风 ( 实习白帽子 | Rank:44 漏洞数:10 | 大哥,你的娃娃掉了.举手之劳,不必以身相许)

    求机油联系方式

  4. 2014-01-12 23:54 | xcoder ( 实习白帽子 | Rank:59 漏洞数:9 | 一个世界有你,一个世界没有你,让两者的不...)

    @暗夜清风 最近比较忙没怎么上线啊

  5. 2014-01-12 23:57 | xcoder ( 实习白帽子 | Rank:59 漏洞数:9 | 一个世界有你,一个世界没有你,让两者的不...)

    @南京大汉网络有限公司 感谢大汉科技的杯具和移动电源,东西已经收到!

  6. 2014-01-13 16:02 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    @xcoder 还以为rank给的少,礼物会很好呢!

  7. 2014-01-13 20:59 | xcoder ( 实习白帽子 | Rank:59 漏洞数:9 | 一个世界有你,一个世界没有你,让两者的不...)

    @刺刺 送了个杯具,有含义!

  8. 2014-01-14 09:00 | luwikes ( 普通白帽子 | Rank:512 漏洞数:77 | 潜心学习~~~)

    杯具!!!

  9. 2014-01-21 11:06 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xcoder 意思是你要悲剧吗……

  10. 2014-01-21 17:01 | 刺刺 ( 普通白帽子 | Rank:603 漏洞数:52 | 真正的安全并不是技术,而是人类善良的心灵...)

    @xcoder 难道洞主就是那个农大的学生?我猜测在jis提权发现之后,被安排做全套的安检……

  11. 2014-01-23 18:17 | 腾讯QQ ( 路人 | Rank:2 漏洞数:1 | 我不是坏人)

    好悲剧。。

  12. 2014-01-23 19:44 | xcoder ( 实习白帽子 | Rank:59 漏洞数:9 | 一个世界有你,一个世界没有你,让两者的不...)

    @刺刺 我等屌丝怎么是农大的啊,随便找了个站!