当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0152404

漏洞标题:陕西师范大学出版总社因一张头像引发的血案

相关厂商:陕西师范大学出版总社有限公司

漏洞作者: 修罗

提交时间:2015-11-06 18:43

修复时间:2015-12-21 18:44

公开时间:2015-12-21 18:44

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

本来准备继续渗下内网的,想想未获授权,还是算了。

详细说明:

1、进入陕西师范大学出版总社有限公司主站

mask 区域
*****nup*****

,点击“网上商城”,进入:shop.snupg.com
2、随便注册一个账号,登录进入"个人中心",点击左侧”上传头像“

1.jpg


3、打开FireBug可以看到客户端用js做了扩展名限制:

2.jpg


4、下断点,刷新页面,把这处代码改成:
file_types : "*.*",
5、上传一个jsp 大马,成功绕过限制上传,由于网站有头像预览功能,上传后可在页面上找到上传文件的路径。

漏洞证明:

哇,ROOT,太客气了。

4.jpg


这是网站所在目录

3.jpg


查看网站配置,找到网站数据库和BBS数据库的配置信息:
论坛配置:
<db_driver>com.mysql.jdbc.Driver</db_driver>
<db_url>jdbc:mysql://192.168.1.71:3307/discuz?useUnicode=true&amp;characterEncoding=utf-8</db_url>
<db_username>luntan</db_username>
<db_password>luntan</db_password>
本站mysql数据库配置:

mask 区域
*****.mysql.j*****
*****nect=true&amp;useUnicode=*****
*****me=pub*****
*****rd=Fou*****


通过大马连接数据库成功:

5.jpg

修复方案:

1、上传文件处加上服务端文件类型验证;
2、删除我上传的jsp大马,位置在:
/home/founder/platform/common/header_top20131115.jsp

版权声明:转载请注明来源 修罗@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评价