当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-054548

漏洞标题:母婴之家之一步步getshell

相关厂商:muyingzhijia.com

漏洞作者: 计算姬

提交时间:2014-03-26 12:58

修复时间:2014-05-10 12:58

公开时间:2014-05-10 12:58

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-03-26: 细节已通知厂商并且等待厂商处理中
2014-03-26: 厂商已经确认,细节仅向厂商公开
2014-04-05: 细节向核心白帽子及相关领域专家公开
2014-04-15: 细节向普通白帽子公开
2014-04-25: 细节向实习白帽子公开
2014-05-10: 细节向公众公开

简要描述:

母婴之家,我一步两步三步四步拿下你~最近总想学习,无奈缺少个ipad

详细说明:

注册账户不多说,对于我们还在怀孕中的妈妈,果断点准妈妈豪礼
上传个孕检证明吧

11.png


burp一下,发现可以改后缀,那我们改一下吧

22.png


后缀就改成asp的试试呗
结果上传后,访问是404.这尼玛。
试了几种格式,asp,jsp,php等都是404,难道是杀软?
jpg啊,txt,rar都OK
aspx不能执行,估计是webconfig配置问题。
尼玛,怎么办啊。传个txt不丢死人啦
哦,注意一下,这里上传,是传到图片服务器上的http://img.muyingzhijia.com/
传上去的地址为http://img.muyingzhijia.com/product/userupload/20140325010115771Chrysanthemum.txt

11.png


感觉是不是目录没权限,就通过../../../../尝试向上遍历
当然这里我们用个jpg看看能不能遍历
结果是ok的,传了个图片到根目录啦
http://img.muyingzhijia.com/Chrysanthemum.jpg
然后尼玛我们在试在根目录传asp啊等等,结果还是404尼玛
要放弃了么
然后找啊找啊就注意到上传的时候有3个upload,试一下呗

11.png


然后发现还不行啊,就这样不停的上传测试,忘记用了还有其他哪些方法了,什么截断啦,上免杀啦什么的
最终shell还是上去了。应该是多次,同时上传,然后成功的。
菜刀连一下,看看,好多东西撒

1.png


还有主站的备份东西,虽然不知道这是不是主站的服务器,但是从备份中可以看到很多东西
web.config
好多信息,拿下主站不是问题撒,测试就不搞了,而且我要上课去了。再见哈。

2.png

漏洞证明:

注册账户不多说,对于我们还在怀孕中的妈妈,果断点准妈妈豪礼
上传个孕检证明吧

11.png


burp一下,发现可以改后缀,那我们改一下吧

22.png


后缀就改成asp的试试呗
结果上传后,访问是404.这尼玛。
试了几种格式,asp,jsp,php等都是404,难道是杀软?
jpg啊,txt,rar都OK
aspx不能执行,估计是webconfig配置问题。
尼玛,怎么办啊。传个txt不丢死人啦
哦,注意一下,这里上传,是传到图片服务器上的http://img.muyingzhijia.com/
传上去的地址为http://img.muyingzhijia.com/product/userupload/20140325010115771Chrysanthemum.txt

11.png


感觉是不是目录没权限,就通过../../../../尝试向上遍历
当然这里我们用个jpg看看能不能遍历
结果是ok的,传了个图片到根目录啦
http://img.muyingzhijia.com/Chrysanthemum.jpg
然后尼玛我们在试在根目录传asp啊等等,结果还是404尼玛
要放弃了么
然后找啊找啊就注意到上传的时候有3个upload,试一下呗

11.png


然后发现还不行啊,就这样不停的上传测试,忘记用了还有其他哪些方法了,什么截断啦,上免杀啦什么的
最终shell还是上去了。应该是多次,同时上传,然后成功的。
菜刀连一下,看看,好多东西撒

1.png


还有主站的备份东西,虽然不知道这是不是主站的服务器,但是从备份中可以看到很多东西
web.config
好多信息,拿下主站不是问题撒,测试就不搞了,而且我要上课去了。再见哈。

2.png

修复方案:

加上之前的0元购物,要一起修复哈。

版权声明:转载请注明来源 计算姬@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-03-26 14:35

厂商回复:

感谢 计算姬@乌云 的提醒,确实存在此漏洞,若被利用会产生较严重的后果,这是我们不够严谨造成的,我们会尽快修复,非常感谢!

最新状态:

2014-05-09:已修复


漏洞评价:

评论

  1. 2014-03-27 21:25 | 木马人 ( 普通白帽子 | Rank:113 漏洞数:25 | 白,灰,黑)

    求方法

  2. 2014-05-09 13:32 | 计算姬 ( 普通白帽子 | Rank:398 漏洞数:90 | 看我看我看我啊)

    呵呵