当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-061140

漏洞标题:大汉版通系统再次getshell之2

相关厂商:南京大汉网络有限公司

漏洞作者: 路人甲

提交时间:2014-05-17 20:31

修复时间:2014-08-15 20:32

公开时间:2014-08-15 20:32

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-17: 细节已通知厂商并且等待厂商处理中
2014-05-19: 厂商已经确认,细节仅向厂商公开
2014-05-22: 细节向第三方安全合作伙伴开放
2014-07-13: 细节向核心白帽子及相关领域专家公开
2014-07-23: 细节向普通白帽子公开
2014-08-02: 细节向实习白帽子公开
2014-08-15: 细节向公众公开

简要描述:

大汉版通系统再次getshell#2(前台且非setup) ,且同样存存在两处..

详细说明:

注:该系统为信息公开系统(xxgk)
#1 漏洞文件

/xxgk/m_6_1/opr_modal.jsp
/xxgk/m_6_1/attachupload.jsp


选择其一贴下漏洞代码,这里为/xxgk/m_6_1/opr_modal.jsp..

1.jpg


//..
if (strStatus.equals("S")) {
blf.doUpload(request);
out.println(Convert.getAlterScript("parent.location='./opr_modal.jsp'"));
return;
}
//从下面可获取到文件上传的路径
if (strStatus.equals("V")) {
int inModaltype = Integer.parseInt(strModaltype);
entity = blf.getModal(strI_id, inModaltype);
if (entity != null) {
strModalName = entity.getVc_modalfilename();
}
String strModalPath = application.getRealPath("")
+ "/jcms_files/jcms" + strAppID + "/web" + nWebID
+ "/site/zfxxgk/ysqgk/modal/" + strModaltype + "/"
+ strModalName;
Convert convert = new Convert();
String strModal = convert
.readInputStream(strModalPath, "UTF-8");
if (Convert.getValue(strModal).length() == 0) {
out
.println("<a style='font:12px;color:#FF0000'>模板文件为空</a>");
return;
}
strModal = Convert.replaceString(strModal, "\"images/", "\""
+ "../jcms_files/jcms" + strAppID + "/web" + nWebID
+ "/site/zfxxgk/ysqgk/modal/" + strModaltype
+ "/images/");
out.println(strModal);
return;
}
%>


从上面可以看出,文件上传仅在客户端采用javascript进行验证,服务端并没有任何的验证,可以说 可以直接上传任意文件,于是造成了任意文件上传漏洞。
#2 漏洞验证
由于网上有大量的实例,任意选取一个案例进行测试验证..
这里选择

http://xxgk.weifang.gov.cn/xxgk/m_6_1/opr_modal.jsp


2.jpg


step1 将我们要上传的users.jsp重命名为user.htm
step2 上传时抓包,将user.htm再次命名为user.jsp即可,如下

3.jpg


点击GO 即可在下面目录生成user.jsp

/xxgk/jcms_files/jcms1/web0/site/zfxxgk/ysqgk/modal/1/你的文件名
注意:由于代码中上传文件的路径为:
"/jcms_files/jcms" + strAppID + "/web" + nWebID+ "/site/zfxxgk/ysqgk/modal/" + strModaltype + "/"+ 文件名;
所以路径可能要做适当的更改.@@@


#3 连接shell
shell路径为:

http://xxgk.site.cn/xxgk/jcms_files/jcms1/web0/site/zfxxgk/ysqgk/modal/1/users.jsp


如图所示

4.jpg

漏洞证明:

#证明
这个系统均运行在很高的权限.. 控制下吧

5.jpg

修复方案:

客户端的东西是不可信的

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-05-19 10:00

厂商回复:

感谢关注

最新状态:

暂无


漏洞评价:

评论