当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170021

漏洞标题:天融信TopScanner两处任意文件下载删除漏洞(无需登录)

相关厂商:天融信

漏洞作者: xfkxfk

提交时间:2016-01-15 10:15

修复时间:2016-04-11 16:08

公开时间:2016-04-11 16:08

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-15: 细节已通知厂商并且等待厂商处理中
2016-01-15: 厂商已经确认,细节仅向厂商公开
2016-01-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-03-10: 细节向核心白帽子及相关领域专家公开
2016-03-20: 细节向普通白帽子公开
2016-03-30: 细节向实习白帽子公开
2016-04-11: 细节向公众公开

简要描述:

天融信TopScanner两处任意文件下载删除漏洞(无需登录)

详细说明:

第一处任意文件下载几删除:
文件/task/saveTaskIpList.php

<?
$fileName = $_GET['fileName'];
if(!$fileName){
	header("Content-type: text/html; charset=utf-8");
	echo "<script language='javascript'>";
	echo "alert('保存过程发生错误!')";
	echo "</script>";
	exit();
}
$handler = fopen("$fileName",'r');
if(!$handler){
	header("Content-type: text/html; charset='utf-8'");
	echo "<script language='javascript'>";
	echo "alert('保存过程中发生错误,打开文件失败!')";
	echo "</script>";
	exit();
}
$length = filesize($fileName);
if($length === false){
	header("Content-type: text/html; charset='utf-8'");
	echo "<script language='javascript'>";
	echo "alert('保存过程发生错误,读取文件长度失败!')";
	echo "</script>";
	exit();
}
$outputFile = 'Devices';
header("Cache-Control:");
header("Cache-Control: public");
header("Content-Type: application/force-download");
header("Content-Disposition: attachment; filename=\"$outputFile\"");
header("Accept-Ranges: bytes");
   $size=filesize($fileName);
   $fp=fopen("$fileName","rb");
   fseek($fp,$range);
   while(!feof($fp)){
       print(fread($fp,1024*8));
   }
   fclose($fp);
   unlink($fileName);
?>


$fileName = $_GET['fileName'];直接进入fopen,fread导致任意文件读取
而且$fileName还进入了unlink函数,导致任意文件删除
第二处任意文件下载:
文件/task/downloadFile.php

<?
    include_once 'policy/CTaskManager.php';
     session_start();
     $fileName=$_GET['fileName'];
     $fileTar="report/".$fileName;
    
     header("Content-Description: File Transfer"); 
	 header("Content-Type: application/octet-stream"); 
   	 header("Content-Disposition: attachment; filename=".basename($fileTar)); 
     header("Content-Transfer-Encoding: binary");
     header("Expires:0");
     header("Cache-Control: must-revalidate, post-check=0, pre-check=0"); 
     header("Pragma: public"); 
     header("Content-Length: " . filesize($fileTar)); 
     ob_clean(); 
     flush();
     readfile($fileTar);
     exit();    
?>


显而易见$fileName进入readfile函数导致任意文件读取

漏洞证明:

漏洞验证链接见测试代码

5.png


6.png

修复方案:

登录验证

版权声明:转载请注明来源 xfkxfk@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2016-01-15 14:14

厂商回复:

已确认,感谢提交!

最新状态:

暂无

漏洞评价:

评价

  1. 2016-01-15 10:23 | Aasron ( 普通白帽子 | Rank:410 漏洞数:95 | raw_input("你知道我要输入什么?"))

    6

  2. 2016-01-15 10:24 | 带头大哥 ( 普通白帽子 | Rank:691 漏洞数:211 | |任意邮件伪造| |目录遍历| |任意文件读取|...)

    66

  3. 2016-01-15 10:31 | 夏殇 ( 实习白帽子 | Rank:34 漏洞数:23 | 不忘初心,方得始终。)

    666

  4. 2016-01-15 10:35 | 伤心的猫猫 ( 普通白帽子 | Rank:115 漏洞数:32 | @sangfor,@qq,@alibaba,@baidu)

    666

  5. 2016-01-15 10:37 | cf_hb ( 普通白帽子 | Rank:119 漏洞数:17 | 爱生活,爱安全!)

    6666

  6. 2016-01-15 10:53 | 骑虎打狗 ( 路人 | Rank:15 漏洞数:7 | 我是中国式的 你懂得..)

    66666

  7. 2016-01-15 11:17 | 麦兜 ( 实习白帽子 | Rank:65 漏洞数:10 | 麦兜爱吃苹果.)

    666666

  8. 2016-01-15 11:32 | pudding2 ( 普通白帽子 | Rank:121 漏洞数:43 | 新人报道,请多关照)

    6666666

  9. 2016-01-15 11:40 | By遗忘 ( 实习白帽子 | Rank:44 漏洞数:7 | 网络爱好者)

    66666666

  10. 2016-01-15 11:54 | 带我玩 ( 路人 | Rank:14 漏洞数:8 | 带我玩)

    66666666 6

  11. 2016-01-15 11:59 | sco4x0 ( 实习白帽子 | Rank:31 漏洞数:13 | 身高两米)

    6666666666

  12. 2016-01-15 12:02 | 不能忍 ( 实习白帽子 | Rank:96 漏洞数:49 | 要是能重来,我要选李白!)

    9

  13. 2016-01-15 12:28 | Hero ( 普通白帽子 | Rank:137 漏洞数:38 | 药药切克闹,充气娃娃迷幻药)

    99

  14. 2016-01-15 12:54 | 路人毛 ( 普通白帽子 | Rank:107 漏洞数:42 | 要想Rank给高,标题一定得屌)

    999

  15. 2016-01-15 13:07 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

    9999

  16. 2016-01-15 15:19 | 雨水 ( 路人 | Rank:8 漏洞数:4 | 新手入道,多多指教。)

    9999

  17. 2016-01-15 15:21 | terrying ( 实习白帽子 | Rank:59 漏洞数:15 | 雅蠛蝶)

    99999

  18. 2016-01-15 15:29 | 0hey_boy0 ( 普通白帽子 | Rank:123 漏洞数:22 | balabala~)

    999999

  19. 2016-01-17 09:49 | 围剿 ( 路人 | Rank:17 漏洞数:5 | Evil decimal)

    9999999

  20. 2016-01-20 14:27 | 0xLucifer ( 路人 | Rank:2 漏洞数:2 | NULL)

    断!

  21. 2016-01-21 12:54 | TwoEyes ( 普通白帽子 | Rank:108 漏洞数:35 | 你看到我的小熊了吗)

    断断!

  22. 2016-01-21 23:07 | Atomath ( 路人 | Rank:24 漏洞数:2 | 你瞅啥)

    断断断!

  23. 2016-02-01 23:47 | Friday 认证白帽子 ( 实习白帽子 | Rank:40 漏洞数:11 | 破土的小竹笋)

    第二个洞好像有些问题,下载下来的文件都是0