漏洞概要
关注数(24)
关注此漏洞
漏洞标题:CSDJCMS 程式舞曲最新版上传设计缺陷(IIS6可getshell)
提交时间:2014-03-02 20:08
修复时间:2014-05-31 20:08
公开时间:2014-05-31 20:08
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
Tags标签:
无
漏洞详情
披露状态:
2014-03-02: 细节已通知厂商并且等待厂商处理中
2014-03-03: 厂商已经确认,细节仅向厂商公开
2014-03-06: 细节向第三方安全合作伙伴开放
2014-04-27: 细节向核心白帽子及相关领域专家公开
2014-05-07: 细节向普通白帽子公开
2014-05-17: 细节向实习白帽子公开
2014-05-31: 细节向公众公开
简要描述:
若IIS6 支持asp的话
可导致直接Getshell。
详细说明:
在user/upload.php中
$ac 可控 然后 可以看到 路径是由$ac 和data 组成的。
这里由于是生成目录。 就算能截断也没用 况且还不能截断。。
在iis6 asp中 有解析洞 就是xx.asp/xx/xx.flv 都会当成asp来解析嘛。
虽然csdj 是php的 但是很多windows下IIS6的 支持php大部分都还是支持asp的。
这里来控制$ac
就在元素那里改把。。
type改了是没用了 就算改成了jogx也不能上传jpgx。。
然后 上传一个flv。
上传后 就是这样的路径了。
如果IIS6 asp的话 这样的是可以解析的。。
但是我本地apache 就算了。 - -
至于这个路径的话。
"/attachment/" . $ac . "/".date('Ymd')."/".$new_file_name.
attachment/yu.asp/2014/03/01/ 这些都是可以知道的。
$new_file_name.
$new_file_name = date("YmdHis") . '_' . rand(10000, 99999) . '.' . $file_ext;
格式化的时间戳
20140301115658 2014年3月1日11点56分58秒
例如是这样的 这个也是可以知道的 上传的时候记录一下时间
然后就是_ 10000-99999的随机了 这里就需要爆破一下 然后就是最后的.flv
漏洞证明:
修复方案:
版权声明:转载请注明来源 ′雨。@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2014-03-03 09:21
厂商回复:
感谢您的检测
已经修复!
最新状态:
暂无
漏洞评价:
评论
-
2014-03-23 13:26 |
wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)