建设银行某分站漏洞导致GetShell（多处）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207927

漏洞标题：建设银行某分站漏洞导致GetShell（多处）

漏洞作者：白泽

提交时间：2016-05-13 15:03

修复时间：2016-07-01 10:00

公开时间：2016-07-01 10:00

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-05-13：细节已通知厂商并且等待厂商处理中
2016-05-17：厂商已经确认，细节仅向厂商公开
2016-05-27：细节向核心白帽子及相关领域专家公开
2016-06-06：细节向普通白帽子公开
2016-06-16：细节向实习白帽子公开
2016-07-01：细节向公众公开

简要描述：

建设银行某分站漏洞导致GetShell

详细说明：

**.**.**.**多个上传导致getshell

漏洞证明：

1、正常图片上传GetShell
upload.class.php 代码
uploadfile()导致以下文件出现任意上传：
upvouch.php
upmarket.php
upinformation.php

function uploadfile($upfile, $maxsize, $updir, $newname = 'date') {
    $name = $upfile ["name"];
    $type = $upfile ["type"];
    $size = $upfile ["size"];
    $tmp_name = $upfile ["tmp_name"];
	if ($newname == 'date')
        $newname = date ( "Ymdhis" ); //使用日期做文件
        $newname = date ( "Ymdhis" ).mt_rand(1,1000000);
	//$newname = md5($name.time());
	$p = strrpos($name,".");
	$extend = strtolower(substr($name,$p));
	$fileSize = $size;
    if ($size > $maxsize) {
        $maxpr = $maxsize / 1000;
        //return  ( "警告！上传文件大小不能超过" . $maxpr . "K!" );
		return false;
    }
	if(!is_dir($updir))
	{
		//mkdir($updir);
		do {
		   $dir = $updir;
		   while (!@mkdir($dir,0777)) {
			   $dir = dirname($dir);
			   if ($dir == '/' || is_dir($dir))
				   break;
		   }
		} while ($dir != $updir);
	}
    if (move_uploaded_file ( $tmp_name, $updir . "/" . $newname . $extend )) {
        return $updir ."/" . $newname . $extend;
    }
}

2、解压压缩文件GetShell
subjectpublish.php
需要满足两个条件才能上传zip文件

if( $_POST['tmap'] && is_numeric($_POST['tmap']) 
    && $_POST['auth']   //加密验证串
    && $_POST['path'] 
    && !empty($_FILES)
  ){
    $tmap = $_POST['tmap'];
    $auth = $_POST['auth'];
    $path = $_POST['path'];
    if( time()-ceil($tmap/1000) > 600 || $auth!=md5($path.$tmap.$key) ){
        $err = 7;

满足压缩包中是否存在html文件

最后获得路径

修复方案：

已经删除测试脚本

版权声明：转载请注明来源白泽@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：10

确认时间：2016-05-17 09:55

厂商回复：

CNVD确认并复现所述情况,已经转由CNCERT直接通报给对应银行集团公司,由其后续协调网站管理部门处置.

漏洞评价：

评价

2016-05-13 16:19 | DNS ( 普通白帽子 | Rank:803 漏洞数:85 | root@qisec.com)

总感觉洞主迟早被抓
2016-05-13 16:39 | 键盘手 ( 路人 | Rank:12 漏洞数:4 | @!@)

祈祷多福吧
2016-05-13 17:02 | Hax0rs ( 实习白帽子 | Rank:73 漏洞数:16 | Hax0rs)

银行专业户
2016-07-01 10:15 | 酷帥王子 ( 普通白帽子 | Rank:270 漏洞数:74 | 天之屌，人之神！天人合一，乃屌神也！绝对...)

冻猪，你已经被中国某些机构终身监视，因为你知道的太多了

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207927

漏洞标题：建设银行某分站漏洞导致GetShell（多处）

相关厂商：建设银行

漏洞作者：白泽

提交时间：2016-05-13 15:03

修复时间：2016-07-01 10:00

公开时间：2016-07-01 10:00

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源白泽@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207927

漏洞标题：建设银行某分站漏洞导致GetShell（多处）

相关厂商：建设银行

漏洞作者： 白泽

提交时间：2016-05-13 15:03

修复时间：2016-07-01 10:00

公开时间：2016-07-01 10:00

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：15

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0207927"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 白泽@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：白泽

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源白泽@乌云