当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-052420

漏洞标题:CSDJCMS 程式舞曲最新版上传设计缺陷(IIS6可getshell)

相关厂商:chshcms.com

漏洞作者: ′雨。

提交时间:2014-03-02 20:08

修复时间:2014-05-31 20:08

公开时间:2014-05-31 20:08

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-02: 细节已通知厂商并且等待厂商处理中
2014-03-03: 厂商已经确认,细节仅向厂商公开
2014-03-06: 细节向第三方安全合作伙伴开放
2014-04-27: 细节向核心白帽子及相关领域专家公开
2014-05-07: 细节向普通白帽子公开
2014-05-17: 细节向实习白帽子公开
2014-05-31: 细节向公众公开

简要描述:

若IIS6 支持asp的话
可导致直接Getshell。

详细说明:

在user/upload.php中

public function upload_save() {  //多文件
$ac = $this->input->get_post('ac', TRUE);

if (!empty($_FILES)) {
$tempFile = $_FILES['Filedata']['tmp_name'];

$targetPath = './attachment/' . $ac . '/'.date('Ym').'/'.date('d').'/';


$file_name = $_FILES['Filedata']['name'];
$file_size = @filesize($_FILES['Filedata']['tmp_name']);
//获得文件扩展名
$file_ext = strtolower(trim(substr(strrchr($file_name, '.'), 1)));
if($file_ext=='mp3' || $file_ext=='wma' || $file_ext=='m4a' || $file_ext=='f4a' || $file_ext=='mp4' || $file_ext=='flv' || $file_ext=='avi' || $file_ext=='asf' || $file_ext=='wmv' || $file_ext=='swf'){ //判断后缀
}else{
@unlink($tempFile);
}
//---------获取歌曲属性------------------
$djinfo=$this->CsdjSkins->djinfo(@iconv('utf-8','gbk',$tempFile));
if($djinfo){
$info=explode("|",$djinfo);
$dx =$info[0];
$yz =$info[1];
$sc =$info[2];
} else {
$dx ='';
$yz ='';
$sc ='';
}
//新文件名
$new_file_name = date("YmdHis") . '_' . rand(10000, 99999) . '.' . $file_ext;

$targetFile = str_replace('//','/',$targetPath) . $new_file_name;

if(FTP_Fun==1){ //开启远程附件
$FTPUP['hostname'] = FTP_Server;
$FTPUP['port'] = FTP_Port;
$FTPUP['username'] = FTP_Name;
$FTPUP['password'] = FTP_Pass;
//$FTPUP['debug'] = TRUE;
$FTPUP['passive'] = FTP_Ive;
$this->ftp->connect($FTPUP);
$targetPath = './attachment/' . $ac . '/'.date('Ymd').'/';
//----------创建目录------------------------
$Dirs=FTP_Dir;
if(substr($Dirs,0,1)=='/') $Dirs=substr($Dirs,1);
if(substr($Dirs,-1)=='/') $Dirs=substr($Dirs,0,-1);
if(!empty($Dirs)) $Dirs.='/';
$All=explode("/",$targetPath);
$Dir1='./'.$Dirs.$All[1].'/';
$this->ftp->mkdir($Dir1, DIR_WRITE_MODE);
$Dir2=$Dir1.$All[2].'/';
$this->ftp->mkdir($Dir2, DIR_WRITE_MODE);
$Dir3=$Dir2.$All[3].'/';
$this->ftp->mkdir($Dir3, DIR_WRITE_MODE);
//----------上传文件------------------------
$this->ftp->mkdir($targetPath, DIR_WRITE_MODE);
$this->ftp->upload($tempFile, $Dir3.$new_file_name);
$this->ftp->close();
echo "/attachment/" . $ac . "/".date('Ymd')."/".$new_file_name."=cscms=".$dx."=cscms=".$yz."=cscms=".$sc;
}else{ //本地附件
!is_dir(str_replace('//','/',$targetPath)) && mkdir(str_replace('//','/',$targetPath), 0755, true);

if(!file_exists($targetPath.'index.html')){
@file_put_contents($targetPath.'index.html','cscms');
}
@move_uploaded_file($tempFile,$targetFile);
echo "/attachment/" . $ac . "/".date('Ym')."/".date('d')."/".$new_file_name."=cscms=".$dx."=cscms=".$yz."=cscms=".$sc;
}
}
}


$ac 可控 然后 可以看到 路径是由$ac 和data 组成的。
这里由于是生成目录。 就算能截断也没用 况且还不能截断。。
在iis6 asp中 有解析洞 就是xx.asp/xx/xx.flv 都会当成asp来解析嘛。
虽然csdj 是php的 但是很多windows下IIS6的 支持php大部分都还是支持asp的。
这里来控制$ac

88.jpg


就在元素那里改把。。
type改了是没用了 就算改成了jogx也不能上传jpgx。。
然后 上传一个flv。

89.jpg


上传后 就是这样的路径了。
如果IIS6 asp的话 这样的是可以解析的。。
但是我本地apache 就算了。 - -
至于这个路径的话。
"/attachment/" . $ac . "/".date('Ymd')."/".$new_file_name.
attachment/yu.asp/2014/03/01/ 这些都是可以知道的。
$new_file_name.
$new_file_name = date("YmdHis") . '_' . rand(10000, 99999) . '.' . $file_ext;
格式化的时间戳
20140301115658 2014年3月1日11点56分58秒
例如是这样的 这个也是可以知道的 上传的时候记录一下时间
然后就是_ 10000-99999的随机了 这里就需要爆破一下 然后就是最后的.flv

漏洞证明:

。嗯 说得很清楚了。

修复方案:

过滤

版权声明:转载请注明来源 ′雨。@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-03-03 09:21

厂商回复:

感谢您的检测
已经修复!

最新状态:

暂无


漏洞评价:

评论

  1. 2014-03-23 13:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    有点鸡肋