Ecmall 前台任意文件删除 | wooyun-2014-068366| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068366

漏洞标题：Ecmall 前台任意文件删除

漏洞作者： ′雨。

提交时间：2014-07-14 10:12

修复时间：2014-10-09 10:14

公开时间：2014-10-09 10:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-14：细节已通知厂商并且等待厂商处理中
2014-07-23：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放
2014-09-16：细节向核心白帽子及相关领域专家公开
2014-09-26：细节向普通白帽子公开
2014-10-06：细节向实习白帽子公开
2014-10-09：细节向公众公开

简要描述：

删除lock之后可以重装系统
然后连接上自己搭建的mysql环境重装后。。。。然后就各种操作。
20140618

详细说明：

在app/my_goods.app.php中

function drop_image()
    {
        $id = empty($_GET['id']) ? 0 : intval($_GET['id']);
        $uploadedfile = $this->_uploadedfile_mod->get(array(
                  'conditions' => "f.file_id = '$id' AND f.store_id = '{$this->_store_id}'",
                  'join' => 'belongs_to_goodsimage',
                  'fields' => 'goods_image.image_url, goods_image.thumbnail, goods_image.image_id, f.file_id',
        ));
        if ($uploadedfile)
        {
            $this->_uploadedfile_mod->drop($id);
            if ($this->_image_mod->drop($uploadedfile['image_id']))
            {
                // 删除文件
                if (file_exists(ROOT_PATH . '/' . $uploadedfile['image_url']))
                {
                       @unlink(ROOT_PATH . '/' . $uploadedfile['image_url']);
                }
                if (file_exists(ROOT_PATH . '/' . $uploadedfile['thumbnail']))
                {
                       @unlink(ROOT_PATH . '/' . $uploadedfile['thumbnail']);
                }

$uploadedfile = $this->_uploadedfile_mod->get(array(
                  'conditions' => "f.file_id = '$id' AND f.store_id = '{$this->_store_id}'",
                  'join' => 'belongs_to_goodsimage',
                  'fields' => 'goods_image.image_url, goods_image.thumbnail, goods_image.image_id, f.file_id',

这里查询出来后然后就带入到了unlink当中
这里哪里入库呢?
首先注册一个会员然后发布商品然后

这里别去上传文件直接在地址处这样写
然后入库而且不会被重命名。
此时执行的语句 INSERT INTO ecm_goods_image(goods_id,image_url,thumbnail,sort_order,file_id) VALUES('1','data/install.lock','data/install.lock','255','0')
没有rename
然后在删除这个商品的时候
就触发了 @unlink(ROOT_PATH . '/' . $uploadedfile['image_url']);

因为

if (file_exists(ROOT_PATH . '/' . $uploadedfile['image_url']))
                {
                       @unlink(ROOT_PATH . '/' . $uploadedfile['image_url']);
                }
                if (file_exists(ROOT_PATH . '/' . $uploadedfile['thumbnail']))
                {
                       @unlink(ROOT_PATH . '/' . $uploadedfile['thumbnail']);

他这里unlink了两次所以第一次unlink后文件就不存在了第二次unlink的时候就报错了但是没影响因为文件是已经删除了的。
然后直接重装

然后写自己的mysql环境就能重装然后各种操作了。

漏洞证明：

见上。

修复方案：

rename一下。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-10-09 10:14

厂商回复：

漏洞评价：

2014-07-14 10:29 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫，我笑世人看不穿~)

危害太大了吧，来发我我来帮你测一下！
2014-07-15 00:43 | loli ( 普通白帽子 | Rank:550 漏洞数:52 )

撸总高产，一天两洞啊。
2014-07-16 08:26 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

我发现我又传错图了，
2014-07-18 17:35 | ShopEx(乌云厂商)

@′ 雨。 Helo 亲我们看了半天也没看懂，要么在传一个吧有些页面也没找到谢谢
2014-07-19 00:18 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 不好意思有些图传错了我联系管理更新一下。
2014-07-20 20:19 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 已经更新了再看看？
2014-07-22 11:06 | ShopEx(乌云厂商)

@′ 雨。您好没找到您图片中填写的地址能否提供下URL，THX
2014-07-22 15:05 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 添加商品下面的添加图片那里。
2014-07-22 15:07 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 添加商品那不是有个添加商品图片那么再试试不久就要自动忽略了
2014-07-23 09:12 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 哥们快来确认洞啊再不确认就要忽略了，，
2014-07-23 10:38 | ShopEx(乌云厂商)

@′ 雨。 Hi 您提交图片上传接口在新版本中未找到未能证实成功您的版号是多少啊还是旧版本打了新补丁？
2014-07-23 10:42 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 难道新版本中添加商品那没没添加商品图片的了？我直接打的补丁哦
2014-07-23 10:44 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 怎么可能添加商品那没添加图片的。。。
2014-07-23 10:55 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 私信个联系方式一起来看看？
2014-07-23 15:14 | ShopEx(乌云厂商)

@′ 雨。亲我早就想私信了你的名字发送的时候查找不到！！
2014-07-23 15:30 | ′ 雨。 ( 普通白帽子 | Rank:1231 漏洞数:190 | Only Code Never Lie To Me.)

@ShopEx 哈哈名字太非主流了那我给你私信查看一下
2014-08-21 09:26 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

好想法哈

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068366

漏洞标题：Ecmall 前台任意文件删除

相关厂商：ShopEx

漏洞作者： ′雨。

提交时间：2014-07-14 10:12

修复时间：2014-10-09 10:14

公开时间：2014-10-09 10:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068366

漏洞标题：Ecmall 前台任意文件删除

相关厂商：ShopEx

漏洞作者： ′雨。

提交时间：2014-07-14 10:12

修复时间：2014-10-09 10:14

公开时间：2014-10-09 10:14

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-068366"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：