当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055794

漏洞标题:长江网某云平台后台管理弱口令+上传漏洞

相关厂商:长江网

漏洞作者: l0u1s

提交时间:2014-04-07 12:15

修复时间:2014-05-22 12:16

公开时间:2014-05-22 12:16

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:12

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-04-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-22: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

长江网某云平台后台管理存在弱口令,登陆后某个上传文件的地方没有进行任何过滤,可直接上传Webshell!

详细说明:

(刚才提交的写得不完整,所以做了一些修改重新提交)
使用Google Hacking语句构造"inurl:filemanage.php",即可找到长江网移动智能报刊信息发布云平台的后台管理页面:
http://cjmb.cjn.cn/cjnadmin_tmp/web/index.php

QQ截图20140406231931.jpg


如果是用域名cjmb.cjn.cn直接在百度和谷歌搜索都会出现管理页面,从百度快照也可看出后台的内容。

QQ截图20140407001905.jpg


QQ截图20140407002058.jpg


QQ截图20140407001924.jpg


但是这里的管理页面还只是一个临时库,从搜索结果可看出有cjn这个用户,密码解不出来,用admin也猜解不出,不过,既然有tmp就应该有正式库,所以就尝试了
http://cjmb.cjn.cn/cjnadmin/web/index.php
再尝试了一下admin / 111111,竟然登陆成功,弱口令!

QQ截图20140406232734.jpg


QQ截图20140406232854.jpg


然后在后台找到一个“原版原样”栏目,里面有个多媒体文件管理,尝试上传shell,在images和mp3中都上传失败后,在mp4文件夹中上传竟然成功了!用菜刀一连,也成功了!

QQ截图20140407004203.jpg


QQ截图20140406233512.jpg


并且能执行命令,虽然只是apache权限,但是可以进一步提权,我就不继续了,赶紧上报!

QQ截图20140406233739.jpg


漏洞证明:

为了进一步确认是否此漏洞的存在,查看相关页面的代码:

<?php
...
if($act=='upthis'){
$sid = Frame_Input_Adapter::Get('sid');
$typeid= Frame_Input_Adapter::Get('typeid');
if($typeid==5)
{
$ftype=array('application/octet-stream');//允许上传的文件类型
}
elseif ($typeid==4)
{
$ftype=array('audio/mpeg');//允许上传的文件类型
}
else
{
$ftype=array('image/jpg','image/jpeg','image/png','image/pjpeg','image/gif','image/bmp','image/x-png');//允许上传的文件类型
}

if(is_uploaded_file($_FILES["upfile"]["tmp_name"]))
{
$oldfile0=$_FILES['upfile']['name'];//获取文件上传之前的全名
if($typeid==5 || $typeid==4)
{
$maxsize= 20480000;
}
else
{
$maxsize= 2048000;
}
if ($_FILES["upfile"]["size"] < $maxsize)
{
if($_FILES["upfile"]["error"] > 0) die('图片上传错误,请重新上传!<a href="filemanage.php?typeid='.$typeid.'&sid='.$sid.'&flag=0">返回</a>');
else
{
if(in_array($_FILES['upfile']['type'],$ftype))//判断文件是否是允许的类型
{
$checkname="name='".$oldfile0."'";
Hanwang_Filemanage_Dao::Instance();
$result=Hanwang_Filemanage_Dao::Get($checkname,0,1);
if($result[0]['name'])
{
die('你上传的名字已经存在,请重新上传内!<a href="filemanage.php?typeid='.$typeid.'&sid='.$sid.'&flag=0">返回</a>');
}
else
{
if($typeid==5)
{
move_uploaded_file($_FILES["upfile"]["tmp_name"],PUBLISHED_IMG."userfiles/mp4/".$_FILES["upfile"]["name"]);
}
elseif ($typeid==4)
{
move_uploaded_file($_FILES["upfile"]["tmp_name"],PUBLISHED_IMG."userfiles/mp3/".$_FILES["upfile"]["name"]);
}
else
{
move_uploaded_file($_FILES["upfile"]["tmp_name"],PUBLISHED_IMG."userfiles/images/".$_FILES["upfile"]["name"]);
}

$opt=array(
'name'=>$_FILES["upfile"]["name"],
'url'=>$_FILES["upfile"]["name"],
'type'=>$typeid,
'lastmodify'=>date('Y-m-d H:i:s')
);
Hanwang_Filemanage_Dao::Instance();
Hanwang_Filemanage_Dao::Add($opt);
echo '<script>window.location="filemanage.php?typeid='.$typeid.'&sid='.$sid.'&flag=0";</script>';
}
}
}
}
else die('你上传的图片过大,请重新上传!<a href="filemanage.php?typeid='.$typeid.'&sid='.$sid.'&flag=0">返回</a>');
}
}
...
?>


上面是filemanage.php页面的上传功能的相关代码,可以看出只对images和mp3两类文件类型的后缀名进行了白名单过滤,但是却没有对mp4文件类型进行任何过滤,不知为何。

QQ截图20140406234702.jpg

修复方案:

首先,修改后台管理的登陆密码,把密码设得复杂些,后来,在上传mp4文件类型处进行过滤。

版权声明:转载请注明来源 l0u1s@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评论