当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-062865

漏洞标题:某通用型平台SQL注入漏洞+任意文件上传getshell演示

相关厂商:cncert国家互联网应急中心

漏洞作者: 飞扬风

提交时间:2014-05-30 18:23

修复时间:2014-08-28 18:24

公开时间:2014-08-28 18:24

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-05-30: 细节已通知厂商并且等待厂商处理中
2014-06-04: 厂商已经确认,细节仅向厂商公开
2014-06-07: 细节向第三方安全合作伙伴开放
2014-07-29: 细节向核心白帽子及相关领域专家公开
2014-08-08: 细节向普通白帽子公开
2014-08-18: 细节向实习白帽子公开
2014-08-28: 细节向公众公开

简要描述:

最近的漏洞老是没审核~!~

详细说明:

江苏三源教育实业有限公司开发的教育信息化公共服务平台
有多加省市级单位在用

.png


该平台由多个部分组成,包括资源、应用、活动、学习等部分,都以子域名的形式存在
说回这次的漏洞,SQL注入存在于活动中心的搜索处,而任意文件上传存在于资源中心

漏洞证明:

0x1 注入
以其中最大的江苏教育信息化公共服务平台为例来演示一下
存在于活动中心http://event.jse.edu.cn/的搜索处(活动中心均已event为子域名,如http://event.jsve.edu.cn/)
搜索处存在SQL注入,http://event.jse.edu.cn/api/searchPlatformActicvity,POST数据:keyWord=1&activityType=-1&organizationCode=&orderBy=ByHot&currentPage=1&tagId=

QQ截图20140528184234.jpg


QQ截图20140528184310.jpg


还是root权限

QQ截图20140530123217.jpg


0x2 任意文件上传
存在于资源中心http://be.jse.edu.cn/channels/1647/default.htm
资源中心可以进行注册,注册后登陆http://contents.jse.edu.cn/my

QQ截图20140530102029.jpg


我的资源中可以上传资源,选择上传素材

QQ截图20140530102232.jpg


QQ截图20140530120750.jpg


这个页面是关键,可以看到有三种方式,制作方式:在线编辑 文件上传 外部链接
这三种方式都没有问题,但其实还隐藏着第四种方式,我们来看下这个页面的源码

QQ截图20140530120922.jpg


有01,02,04,怎么会没有03呢,再往下看页面代码

QQ截图20140530121443.jpg


发现确实存在03的模块,只是被隐藏了起来,firebug手动将其他隐藏,将03显示出来看一下

QQ截图20140530121744.jpg


03显示出来是zip上传,如下

QQ截图20140530121805.jpg


下面就容易了,构造一个zip包,包含两个文件,一个x.aspx的一句话,一个index.html内容随意,通过该处上传

QQ截图20140530121926.jpg


QQ截图20140530122035.jpg


上传后,可以看到刚刚上传的文件的下载路径http://58.213.155.174:81/File/FileDownload?filePath=9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/e6529448-5701-4644-8efe-44efd1bfbf38.zip&contentType=application/octet-stream&name=桌面.zip

QQ截图20140530122539.jpg


这个还不是shell的路径,截取参数filepath的部分值,即9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/
前面加上http://58.213.155.174:81/HTMLFile/,(上面得到的地址下的HTMLFile文件夹下),后面加上我们放的x.aspx
得到最终shell的地址http://58.213.155.174:81/HTMLFile/9999999999/File/2014-05-30/20ba306e-771a-4941-9bfd-46676c39f48c/x.aspx

QQ截图20140530122852.jpg


PS:测试中其他一些平台也存在连03模块都没有隐藏的情况
PPS:shell已删

修复方案:

0x1 注入部分要加强过滤
0x2 不需要的模块不能只用none的方式来隐藏,应该彻底清除掉代码

版权声明:转载请注明来源 飞扬风@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2014-06-04 15:51

厂商回复:

CNVD确认并在两个以上实例上复现所述情况,目前正由CNVD尝试通过公开联系渠道联系软件生产厂商。同时根据测试结果,同步发给新疆分中心处置相关案例。

最新状态:

暂无


漏洞评价:

评论