当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0153319

漏洞标题:某大型学习管理系统通用型漏洞打包(客户案例相当丰富)

相关厂商:某大型学习管理系统

漏洞作者: 我的邻居王婆婆

提交时间:2015-11-25 12:46

修复时间:2015-12-17 14:48

公开时间:2015-12-17 14:48

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-25: 细节已通知厂商并且等待厂商处理中
2015-11-27: 厂商已经确认,细节仅向厂商公开
2015-11-30: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2016-01-21: 细节向核心白帽子及相关领域专家公开
2016-01-31: 细节向普通白帽子公开
2016-02-10: 细节向实习白帽子公开
2015-12-17: 细节向公众公开

简要描述:

设计缺陷导致可以登录、任意文件上传

详细说明:

关键字:wizBank

QQ截图20151110100927.png


官网:http://**.**.**.**
客户案例:http://**.**.**.**/case_class.asp?id=2&Menu=ChildMenu1
版本:目测是4.*;5.*;6.*(最新版);
6.*的版本的登录大概是这样的
http://*/app/user/userLogin/$
其它版本的登录是这样的
http://*/servlet/qdbAction?cmd=start&stylesheet=login.xsl
比较好区分
下面以官网demo作为演示对象
4.*、5.*版本和6.*版本操作略有不同,但原理都是一样的
上传图片要抓包改包,上传文件可以直传jsp
http://**.**.**.**(版本6.*)

QQ截图20151110135643.png


问题出在匿名用户上,当访问某个链接后,会执行类guest用户的登录操作,此时我们再访问系统内的一个存在文件上传的页面
1#获取登录状态

QQ截图20151110141358.png


2#访问系统内的一个存在文件上传的页面

QQ截图20151110141729.png


3#上传shell

QQ截图20151110141834.png


QQ截图20151110141910.png


访问虽然失败,但是shell上传成功,换个马
shell地址:http://**.**.**.**/editor/11447136317807.jsp
密码:ninty

QQ截图20151110142059.png


QQ截图20151110142316.png

漏洞证明:

证明案例1#
民生银行某系统(版本5.*)
http://**.**.**.**
1#获取登录状态

QQ截图20151110142556.png


2#访问系统内的一个存在文件上传的页面

QQ截图20151110142958.png


3#上传shell

QQ截图20151110143036.png


上传后的地址通过抓包可以获得
或者查看源文件

QQ截图20151110143247.png


shell地址:temp/342142857/01447136937342.jsp
一句话http://**.**.**.**/temp/342142857/01447136937342.jsp
密码:wpppandas

QQ截图20151110143134.png


QQ截图20151110143340.png


QQ截图20151110144604.png


再来一个国航的案例吧
http://**.**.**.**(5.*)

QQ截图20151110145009.png


1#登录

QQ截图20151110145147.png


2#上传页面

QQ截图20151110145230.png


3#上传

QQ截图20151110145442.png


小马:http://**.**.**.**/temp/133145518/11447138518133.jsp

QQ截图20151110145748.png


附上一些我收集的案例
加多宝http://**.**.**.**
方太http://**.**.**.**
重庆农村商业银行http://**.**.**.**
美的http://**.**.**.**
建发集团http://**.**.**.**
等等,很多大厂商都在使用

修复方案:

对guest的登录方法进行修改,上传点过滤,或者说控制权限

版权声明:转载请注明来源 我的邻居王婆婆@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-11-27 16:46

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无


漏洞评价:

评价