当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060147

漏洞标题:逐浪cms两处文件上传漏洞(有服务器环境限制)

相关厂商:逐浪CMS

漏洞作者: what_news

提交时间:2014-05-10 21:51

修复时间:2014-08-05 21:52

公开时间:2014-08-05 21:52

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-10: 细节已通知厂商并且等待厂商处理中
2014-05-11: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-05: 细节向核心白帽子及相关领域专家公开
2014-07-15: 细节向普通白帽子公开
2014-07-25: 细节向实习白帽子公开
2014-08-05: 细节向公众公开

简要描述:

也是要结合iis6的解析漏洞,不知道这两处跟之前提交的会不会重复

详细说明:

由于官网不是iis6的环境
我本地进行测试
第一处

http://127.0.0.1/Plugins/ckfinder/ckfinder.html


在左边文件夹Files下新建字幕了1.asp 然后点击1.asp目录然后上传图片木马3.gif

510.png


然后右键查看文件 就可以看到文件地址了

511.png


文件地址

http://127.0.0.1/UploadFiles/files/1.asp/3.GIF


第二处

http://127.0.0.1/plugins/imageupload.aspx


protected void btnUpload_Click(object sender, EventArgs e)
{
    string str = "";
    string str2 = Path.GetExtension(this.fup_Image.FileName).ToLower();
    if (!this.CheckFilePostfix(str2.Replace(".", ""))) //上传文件类型白名单可以自己设置
    {
        this.ReturnManage("上传的附件不是符合扩展名" + base.Request["Ext"] + "的文件");
    }
    else
    {
        string path = base.Server.MapPath("~/UploadFiles/Images/S" + base.Request.QueryString["SID"]); //可创建文件夹自己可控制
        if (!Directory.Exists(path))
        {
            Directory.CreateDirectory(path);
        }
        string str4 = DateTime.Now.ToString("yyyyMM");
        string str5 = DataSecurity.MakeFileRndName();
        str = str4 + str5 + str2;
        string filename = path + @"\" + str;
        this.fup_Image.PostedFile.SaveAs(filename);
        (this.Page.FindControl("span_Error") as HtmlGenericControl).Style["display"] = "block";
        string s = string.Format("<script>parent.document.getElementById('hdPath_'+ {0}).value='/UploadFiles/Images/{1}/{2}';parent.document.getElementById('img_'+ {0}).src='/UploadFiles/Images/{1}/{2}';</script>", base.Request.QueryString["QID"], "S" + base.Request.QueryString["SID"], str);
        base.Response.Write(s);
    }
}


访问

http://127.0.0.1/plugins/imageupload.aspx?SID=2.ASP&Ext=jpg


上传jpg格式木马

512.png


右键查看源代码就有文件路径了

513.png


漏洞证明:

漏洞证明如上

修复方案:

修复

版权声明:转载请注明来源 what_news@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-05 21:52

厂商回复:

感谢反馈,自zoomla!逐浪CMS21.4开始,iis6和混和环境既非我方官方支持范围,同时也非微软官方支持范围,亦即此环境是不会存在的。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-10 21:58 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @疯狗 这公司给的rank这么低 还走小产商。。。

  2. 2014-05-11 10:41 | 逐浪CMS(乌云厂商)

    感谢反馈,自zoomla!逐浪CMS21.4开始,iis6和混和环境既非我方官方支持范围,同时也非微软官方支持范围,亦即此环境是不会存在的。

  3. 2014-05-11 14:12 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @逐浪CMS 我提交的另一个还没确定啊 http://wooyun.org/bugs/wooyun-2014-060071

  4. 2014-05-11 23:36 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @逐浪CMS 哦~这样啊,晓得了

  5. 2014-05-11 23:38 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @疯狗 之前 WooYun: 逐浪CMS一个漏洞的各种拿Shell姿势(系统环境限制) 这个也是结合iis6解析漏洞 他就确定 现在这个就不确定了 感觉开始坑了

  6. 2014-05-11 23:42 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @what_news 不是开始坑了,厂商是开始主动跟平台和白帽子同步一些安全细节了,开始互动而不是一味的只确认漏洞没反馈

  7. 2014-05-11 23:44 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @疯狗 也没有啊 我提醒 @逐浪CMS 帮我确认这个漏洞很久都没回应 http://wooyun.org/bugs/wooyun-2014-060071估计又是忽略的节奏了

  8. 2014-05-12 11:11 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @what_news 应该是看到了在确认吧

  9. 2014-05-12 11:15 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @疯狗 应该不会了的 比 wooyun.org/bugs/wooyun-2014-060071 晚提交的漏洞都确定了或者忽略了 这个估计就不会理了 产商开始恢复以前的原貌了感觉

  10. 2014-05-13 22:14 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    亦即此环境是不会存在的,没人用IIS6的。哈哈@疯狗

  11. 2014-05-13 22:21 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @wefgod 官网也没说要装在大于iis6的版本上 或者就直接集成服务器呗 哈哈

  12. 2014-05-13 22:53 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @what_news 老实说没看明白官方意思。不知道是不是漏洞太有内容了

  13. 2014-05-13 23:03 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @wefgod 官网的意思 应该是说他的系统是给人装在iis7以上的服务器的,官网都没通知用户 有点坑 估计是购买他版权的用户才会告知吧 还有一点之前有人提交的也是iis6 他都没说明这个问题

  14. 2014-05-13 23:04 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @what_news 免费的一般谁还管那么多。不过老实说iis6的解析漏洞那么经典,要防一下也比较简单,只是看想不想做的问题了。反正他主动忽略了,按我理解就是不改,哪天如果改了……你懂的

  15. 2014-05-13 23:05 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @wefgod 明白 应该会改的 我觉得哈哈 不然别的用户就会被坑了