当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-053786

漏洞标题:某政务服务中心系统通用任意文件上传

相关厂商:Cncert国家互联网应急中心

漏洞作者: U神

提交时间:2014-03-16 14:42

修复时间:2014-06-14 14:43

公开时间:2014-06-14 14:43

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-16: 细节已通知厂商并且等待厂商处理中
2014-03-23: 厂商已经确认,细节仅向厂商公开
2014-03-26: 细节向第三方安全合作伙伴开放
2014-05-17: 细节向核心白帽子及相关领域专家公开
2014-05-27: 细节向普通白帽子公开
2014-06-06: 细节向实习白帽子公开
2014-06-14: 细节向公众公开

简要描述:

详细说明:

#1.这套系统主要是用在政务服务中心、行政服务中心之类的,是一套JSP的CMS,并且百度谷歌等搜索引擎均可以用关键字搜索到存在该类系统的网站,全部都为政府级别的网站,该系统中的后台上传页面未经过任何权限验证,导致可以访问上传页面,并且可上传任意格式的文件。
我们来谷歌一下关键字,你就会发现全是政务服务中心的标题:
<img src="https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/201403/161256078a78013af2ab82a25c49f39d8d27a2ef.jpg"

QQ截图20140623185840.png


利用页面:

admin/upload.jsp 主要是这个上传页面
getFileList.action 管理文件页面
admin/getFileList.action 管理文件页面
mutual/getFileList.action 管理文件页面


#2.以下是收集了不少,只要关键字构造的好,可穿梭在各搜索引擎爬行到,希望Cncert尽快通报修复该高危漏洞。

http://***.gov.cn/admin/upload.jsp
http://www.y***.gov.cn:9999/admin/upload.jsp
http://www.h***x.gov.cn/admin/upload.jsp
http://www.t***.net/admin/upload.jsp
http://***w.t***ao.gov.cn/admin/upload.jsp
http://www.***.gov.cn/admin/upload.jsp
http://www.y***w.gov.cn/admin/upload.jsp
http://www.x***x.gov.cn/admin/upload.jsp
http://www.w***w.gov.cn/admin/upload.jsp
http://www.***p.gov.cn/admin/upload.jsp
http://***w.s***u.gov.cn/admin/upload.jsp
http://***p.***k.gov.cn:8070/admin/upload.jsp
http://218.***.***.19/admin/upload.jsp
http://x***.***s.gov.cn/admin/upload.jsp
http://www.t***x.com/admin/upload.jsp
http://110.7.***.***:8081/admin/upload.jsp
http://221.235.***.***/admin/upload.jsp
http://www.***.gov.cn:82/web_xzfw/admin/upload.jsp
http://www.b***.gov.cn:8092/admin/upload.jsp
http://www.y***5.gov.cn:9999/admin/upload.jsp
http://***p.***y.gov.cn/admin/upload.jsp
http://221.229.***.***/admin/upload.jsp

漏洞证明:

#3.我们看看它的上传页面全部都是一样,可推断是同款系统。

QQ截图20140623190148.png


QQ截图20140623185840.png


QQ截图20140623185840.png


#4.以第一个作为例子来证明可任意上传文件,上传一个JSP大马,上传完毕后跳转到文件管理,复制下载地址,默认是在http://www.***.com/upimg/info/***.jsp 这里。上传文件并没有被改名,看了不少这样的政府网,估计都被入侵了不少~

QQ截图20140623185840.png


QQ截图20140623185840.png


权限还蛮大~

QQ截图20140623185840.png

修复方案:

PS:测试的Shell已删除,求不跨省,求发证书,不过很多网站已经被其它黑客挂了不少Shell~求通报尽快修复该漏洞,对这些页面做权限认证!

版权声明:转载请注明来源 U神@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-23 20:46

厂商回复:

CNVD确认并复现所述多个案例情况,已经转由CNCERT将所述案例及时分发给对应分中心,同时对于该软件的生产厂商或是否存在与其他软件同源情况,还在进一步确认。后续如果有对厂商的跟踪处置,再进一步更新补充。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-16 15:30 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    牛逼?

  2. 2014-03-16 15:52 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @wefgod 哪里有你牛B啊,找这个其实很简单~

  3. 2014-03-16 19:17 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @U神 我只是打酱油的……现在也不怎么搞了

  4. 2014-03-16 19:45 | 马云 ( 路人 | Rank:10 漏洞数:5 | 啪啪啪啪啪啪啪啪)

    @U神 挖槽 你的签名一直再换

  5. 2014-03-16 19:48 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @马云 每审核一个漏洞,我的签名就自动换呢~

  6. 2014-03-17 10:01 | cncert国家互联网应急中心(乌云厂商)

    已经跟进复现,需要确认一下生产厂商。

  7. 2014-03-17 11:27 | 马云 ( 路人 | Rank:10 漏洞数:5 | 啪啪啪啪啪啪啪啪)

    @U神 不装逼大家还是好朋友哈哈哈

  8. 2014-03-17 12:20 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @cncert国家互联网应急中心 忘记跟你说了,第三个直接点确定就可以进入后台

  9. 2014-06-14 17:15 | 从容 ( 普通白帽子 | Rank:221 漏洞数:75 | Enjoy Hacking Just Because It's Fun :) ...)

    走小厂商还是大厂商流程?

  10. 2014-06-14 23:50 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    【声明:以上提供的全部案例一方面证明通用型,一方面是给CNVD或Cncert测试,其他人不得用此作非法用途或者破坏操作,否则后果自负】