当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0141880

漏洞标题:今日通再次沦陷getshell

相关厂商:今日天下通

漏洞作者: 路人甲

提交时间:2015-09-18 09:04

修复时间:2015-11-02 12:10

公开时间:2015-11-02 12:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-09-18: 细节已通知厂商并且等待厂商处理中
2015-09-18: 厂商已经确认,细节仅向厂商公开
2015-09-28: 细节向核心白帽子及相关领域专家公开
2015-10-08: 细节向普通白帽子公开
2015-10-18: 细节向实习白帽子公开
2015-11-02: 细节向公众公开

简要描述:

我在想标题要有多吊才能有闪电------

详细说明:

5.png


1.png

2.png

3.png

4.png

漏洞证明:

那什么跟你们运维通过电话,这个问题会报给你们主要也是你们上次的BUG给的分少了,我正好差几分就可以换东西了所有这次千万别给少了,
还有就是运维大哥,两次的礼物合并成一份大礼包吧 哈哈
重要的事情要说三遍
大礼包高Rank
大礼包高Rank
大礼包高Rank
数据库配置的不错你们
有时间再帮你们看看
shell地址:http://buyer.jinri.cnhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/834864_Visitor_inc.aspx
菜刀地址:http://buyer.jinri.cnhttps://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/1.aspx pass:tom

修复方案:

让你们开发吧这个代码修复下 什么都不判断接到文件就存档到服务器上,导致getshell
还有就是别把Rar,文档这些文件放在更目录下面了,

private List<string> ImportVisitor()
{
List<string> list = new List<string>();
int uid = UserHelper.UserId;
#region 上传文件
HttpPostedFileBase file = Request.Files[0];
string filename = file.FileName;
string[] fileNameArr = file.FileName.Split('\\');
filename = fileNameArr[fileNameArr.Length - 1];
if (string.IsNullOrEmpty(filename))
{
list.Add("请选择导入文件");
return list;
}
string filePath = Path.Combine(HttpContext.Server.MapPath("..https://wooyun-img.oss-cn-beijing.aliyuncs.com/upload/"));
if (!Directory.Exists(filePath))
{
Directory.CreateDirectory(filePath);
}
file.SaveAs(filePath + uid + "_Visitor_" + filename);
#endregion
#region 读取文件数据
string readyPath = filePath + uid + "_Visitor_" + filename;
DataTable dt = StringHelper.ExecleDs(readyPath);
#endregion
#region 导入常旅客
if (dt != null && dt.Rows.Count > 0)
{
int i = 2;
foreach (DataRow dr in dt.Rows)
{
bool save = true;
VisitorModel model = new VisitorModel();
model.UserId = uid;
model.Vid = 0;
model.CName = dr["A"].ToString();
model.EName = dr["B"].ToString();
model.VisitorType = dr["D"].ToString();
model.Gender = dr["C"].ToString();
model.DocumentType = dr["E"].ToString();
model.DocumentNo = dr["F"].ToString();
model.CountryCode = dr["H"].ToString();
model.Country = dr["G"].ToString();
model.Tel = dr["I"].ToString();
model.Food = dr["J"].ToString();
model.Remark = dr["K"].ToString();
if (string.IsNullOrEmpty(model.CName))
{
list.Add("第 " + i + " 行的【中文】不能为空!");
save = false;
}
if (string.IsNullOrEmpty(model.CountryCode) || string.IsNullOrEmpty(model.Country))
{
list.Add("第 " + i + " 行的【国家和国家二字码】不能为空!");
save = false;
}
if (!string.IsNullOrEmpty(model.Tel))
{
if (!JFx.RegexMatchHelper.IsMobile(model.Tel) || !JFx.RegexMatchHelper.IsPhone(model.Tel))
{
list.Add("第 " + i + " 行的【联系电话】不正确!");
save = false;
}
}
if (string.IsNullOrEmpty(model.DocumentType))
{
list.Add("第 " + i + " 行的【证件类型】不能为空!");
save = false;
}
if (model.DocumentType == "身份证")
{
if (string.IsNullOrEmpty(model.DocumentNo))
{
list.Add("第 " + i + " 行的【证件号】不能为空!");
save = false;
}
else if (!JFx.RegexMatchHelper.IsIdCard(model.DocumentNo))
{
list.Add("第 " + i + " 行的【身份证号码】不正确!");
save = false;
}
}
if (save)
{
int ret = SaveVisitor(model);
if (ret == 0)
{
list.Add("第 " + i + " 行数据导入失败!");
}
}
i++;
}
}
#endregion
return list;
}

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-18 12:08

厂商回复:

正在修复中

最新状态:

暂无


漏洞评价:

评论

  1. 2015-09-18 09:18 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    @hackyandi 是你吗?

  2. 2015-09-18 10:01 | hackyandi ( 普通白帽子 | Rank:126 漏洞数:16 | ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...)

    @大师兄 大湿兄,师傅被妖怪抓走了!!!!!!!!!!!!!

  3. 2015-09-18 10:42 | 大师兄 ( 路人 | Rank:14 漏洞数:6 | 每日必关注乌云)

    @hackyandi 没事,八戒勿慌。俺老孙给他禅杖里加了GPS定位跟踪模块。待俺老孙撸穿此妖怪电脑。