漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0127350
漏洞标题: 某省工商行政管理局门户网站可上传恶意文件、获取主机权限
相关厂商:cncert国家互联网应急中心
漏洞作者: woops002
提交时间:2015-07-20 08:23
修复时间:2015-09-07 10:16
公开时间:2015-09-07 10:16
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开
简要描述:
山东省工商行政管理局门户网站将上传api直接写在首页源码中,通过篡改api中相关字段值便可利用该上传接口将jspx文件上传至服务端。(注:网站过滤了jsp但未过滤jspx)
由于该建站系统是出自中科汇联这一开发商,因此所有基于该建站系统开发的网站都存在该问题。通过谷歌语法大致检索了下,发现以下网站可能存在该问题(对于不能上传或上传后不能执行的站点,我想应该是由于有安全设备的原因吧)。
www.sdcourt.gov.cn 山东省高级人民法院
http://dzzy.sdcourt.gov.cn/ 德州市终级人民法院
www.yuxi.gov.cn 玉溪市人民政府网
www.hebei.gov.cn 河北省人民政府网
www.fjciq.gov.cn 福建出入境检验检疫局
http://www.cebbank.com/ 中国光大银行
www.mapuni.com 中科宇图网站
www.cndca.org.cn 中国民主建国会
www.bjny.gov.cn 北京农业局
www.inspur.com 浪潮
www.bjepb.gov.cn 北京市环境保护局
www.qbj.gov.cn 成都,青白江
www.jxnxs.com 江西省农村信用社
http://hl.lsz.gov.cn/ 中国会理
http://xxgk.hengshui.gov.cn/ 衡水市政府信息公开专栏
www.lsz.gov.cn 凉山州人民政府
http://www.hz-redshield.com.cn/ 菏泽市工商行政管理局
www.lwaic.gov.cn 莱芜市工商行政管理局
http://www.12365.sd.cn/ 山东省质量技术监督局
http://xxgk.hengshui.gov.cn/ 衡水信息公开
http://www.tongrentang.com/ 同仁堂
http://hd.lsz.gov.cn/ 中国·会东
http://cjj.szlhxq.gov.cn/ 深圳市龙华新区城市建设局
www.bjszxy.cn 北京市顺义区牛栏山第一中学
http://www.huilan.com/ 中科汇联
详细说明:
截图1、首页源码中发现上传api
截图2、直接访问该上传api,提示会话失效。
截图3、发现该上传api中包含一些参数,尝试将"moduleId=2"改成"moduleId=1"再访问发现可正常访问(说明系统是通过接收用户端所传输过来的moduleid值来判断当前访问是否合法的-设计缺陷啊)
漏洞证明:
截图1、本地写个上传html,将工商局的上传api填入其中。向服务端上传jspx菜刀马
截图2、菜刀连接成功
截图3、服务器竟然还支持跨盘符,从c盘users目录下的内容可确定当前用户是administrato权限
截图4、成功添加系统管理员admin账户。
截图5、由于是内网的机器且是政府的网站,就不做端口反弹了。感觉体现问题危害性的效果已经达到了,希望尽快修复问题啊。
修复方案:
1、过滤jspx文件
2、禁用该上传目录的执行权限
版权声明:转载请注明来源 woops002@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2015-07-24 10:14
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。
最新状态:
暂无