当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062607

漏洞标题:逐浪CMS特定版本疑似存在一个鸡肋后门

相关厂商:逐浪CMS

漏洞作者: wefgod

提交时间:2014-05-28 14:11

修复时间:2014-08-23 14:12

公开时间:2014-08-23 14:12

漏洞类型:默认配置不当

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-28: 细节已通知厂商并且等待厂商处理中
2014-06-02: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-27: 细节向核心白帽子及相关领域专家公开
2014-08-06: 细节向普通白帽子公开
2014-08-16: 细节向实习白帽子公开
2014-08-23: 细节向公众公开

简要描述:

特定版本有。包我都是从官网下的啊,文件的来源引人遐想。

详细说明:

Zoomla!CMS2_X1.0和Zoomla!CMS2_X1.1的插件文件夹下存在一个Plugins\baike_editor\uploadsss.php
官方包下载地址:
http://www.zoomla.cn/down/Zoomla!CMS2_X1.0.rar
http://www.zoomla.cn/down/Zoomla!CMS2_x1.1.rar
其它版本均未存在此文件。
为什么说他鸡肋呢,先提下:
1.php的,需要在iis集成了php的组件时才可能有机会利用;
2.我一下子没想到他是否有更好的利用场景

漏洞证明:

<?php
//中文
$errno	= 0;
if (!isset($_FILES['userfile']) || 0 != $_FILES['userfile']['error']) {
	//上传失败
	$errno	= 3;
}
if ($_FILES['userfile']['size'] > (1024 * 1024 * 3)) {
	//大于3M
	$errno	= 1;
}
$clip	= array();
if (!isset($_FILES['userfile']['type']) || 0 === preg_match('~^image/(gif|jpeg|png)$~i', $_FILES['userfile']['type'], $clip)) { //mime头是image的就可以了
	//请求的mime-type不匹配
	$errno	= 2;
}
$extName	= $clip[1];
$filePath	= 'upload_files_demo/upload.' . $extName; //这也是鸡肋点
if (!@move_uploaded_file($_FILES['userfile']['tmp_name'], $filePath)) {
	//保存失败
	$errno	= 3;
}
?>


本地随便测试了下:

<html>
<form action=http://localhost:9000/z/Plugins/baike_editor/uploadsss.php  name="form" method="post" enctype="multipart/form-data">
<input type=file name="userfile"  size=23 />
<input type=submit value=Submit />
</form>
</html>


z.jpg


不过确实挺鸡肋的。

修复方案:

改下两个版本的包,去掉这个文件。

版权声明:转载请注明来源 wefgod@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-23 14:12

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-05-28 14:19 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    大牛 !!!!!!

  2. 2014-05-28 14:23 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    牛逼

  3. 2014-05-28 14:49 | xlz0iza1 ( 普通白帽子 | Rank:1027 漏洞数:207 | "><script/src=data:,alert(1)%2b")

    楼主开启了刷洞模式~

  4. 2014-05-28 15:11 | 园长 ( 普通白帽子 | Rank:134 漏洞数:14 | 你在身边就是缘,缘分写在数据库里面。)

    这个cms做的漏洞不是一般的多....

  5. 2014-05-28 15:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xlz0iza1 @光刃 @what_news 都蛋定,一个无用的小后门而已。实际中估计做不了什么。我本来认定这次就算可以通过也是小厂商流程的……不过因为我不擅长某语言,感觉看了半天没看出其它用法,就没办法深入了

  6. 2014-05-28 20:09 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    这个cms做的漏洞不是一般的多....为什么我一个找不到

  7. 2014-05-28 20:13 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    @在路上 有全局处理函数 能绕过就有漏洞了

  8. 2014-05-28 20:48 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @what_news 以前的函数处理没那么严格

  9. 2014-05-28 21:14 | Moc ( 路人 | Rank:23 漏洞数:12 | 屌丝何苦为难屌丝)

    @wefgod 大哥,逐浪都被你玩坏了

  10. 2014-05-28 21:29 | xlz0iza1 ( 普通白帽子 | Rank:1027 漏洞数:207 | "><script/src=data:,alert(1)%2b")

    @wefgod @Moc 应该说大汉和逐浪 都给他玩坏了。

  11. 2014-05-28 22:37 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @xlz0iza1 没有,大汉是属于路人甲的

  12. 2014-05-28 22:43 | xlz0iza1 ( 普通白帽子 | Rank:1027 漏洞数:207 | "><script/src=data:,alert(1)%2b")

    @wefgod 你开的头嘛~粉木耳以黑。

  13. 2014-05-29 18:44 | 在路上 ( 普通白帽子 | Rank:193 漏洞数:13 | 在学习的路上、在成长的路上...)

    @what_news 哦 @wefgod 打开电脑一看全是尼玛相关提醒

  14. 2014-07-02 20:21 | what_news ( 普通白帽子 | Rank:195 漏洞数:48 | 小菜一个 希望成为大菜)

    这版本有点低了吧 还有php代码。

  15. 2014-07-03 10:03 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    @what_news 提交的时候只到1.4,反正官方的包里面的,不排除别人会用到

  16. 2014-08-24 08:41 | 老阎 ( 路人 | Rank:5 漏洞数:2 | 求师傅带)

    逐浪CMS无视本地测试、、、