某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

admin
admin
admin
139897
文章
114
评论
2015年5月30日23:36:57评论293 views字数 262阅读0分52秒阅读模式
摘要

2014-08-25: 细节已通知厂商并且等待厂商处理中
2014-08-28: 厂商已经确认,细节仅向厂商公开
2014-08-31: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-10-22: 细节向核心白帽子及相关领域专家公开
2014-11-01: 细节向普通白帽子公开
2014-11-11: 细节向实习白帽子公开
2014-11-21: 细节向公众公开

漏洞概要 关注数(16) 关注此漏洞

缺陷编号: WooYun-2014-73549

漏洞标题: 某通用型电子采购平台从某处目录遍历到任意文件上传GetShell 某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

相关厂商: cncert国家互联网应急中心

漏洞作者:

提交时间: 2014-08-25 14:54

公开时间: 2014-11-21 14:56

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 15

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源:www.wooyun.org ,如有疑问或需要帮助请联系

Tags标签: 任意文件上传 任意文件上传

5人收藏

漏洞详情

披露状态:

2014-08-25: 细节已通知厂商并且等待厂商处理中
2014-08-28: 厂商已经确认,细节仅向厂商公开
2014-08-31: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-10-22: 细节向核心白帽子及相关领域专家公开
2014-11-01: 细节向普通白帽子公开
2014-11-11: 细节向实习白帽子公开
2014-11-21: 细节向公众公开

简要描述:

前人漏洞,捡漏。

详细说明:

前人漏洞:http://**.**.**.**/bugs/wooyun-2014-070117 http://**.**.**.**/bugs/wooyun-2014-062918

厂商: 北京网达信联科技发展有限公司 http://**.**.**.**/

产品:电子采购平台

Google搜索语法:inurl:/custom/GroupNewsList.aspx

枚举部分实例:

code 区域 
http://**.**.**.**/custom/GroupNewsList.aspx?groupId=121&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=141&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=142&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=58&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=142&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=142&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=140&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?groupId=58&child=true
 http://www.sdlg.info/custom/GroupNewsList.aspx?GroupId=58&child=true
 http://**.**.**.**:90/custom/GroupNewsList.aspx?GroupId=141&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=142&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=141&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=148
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=181
 http://**.**.**.**/custom/GroupNewsList.aspx?companyId=&child=true&buyGroupid=1302&groupId=38
 https://**.**.**.**:8084/custom/GroupNewsList.aspx?GroupId=114&buyGroupId=1178
 http://**.**.**.**/custom/GroupNewsList.aspx?typeObj=t58&groupId=58
 http://**.**.**.**/custom/GroupNewsList.aspx?GroupId=142&child=true
 http://**.**.**.**:8000/custom/GroupNewsList.aspx?GroupId=58&child=true
 **.**.**.**/custom/GroupNewsList.aspx?GroupId=58&child=true
 http://**.**.**.**/custom/GroupNewsList.aspx?typeObj=t58&groupId=58
 等等...

漏洞证明:

从其中一个站点http://**.**.**.**/存在多处目录遍历

其他站点貌似不存在 只是从该站点挖掘出其他通用漏洞 就略过,直接讲任意文件上传吧。

http://**.**.**.**/library/editornew/Editor/temp.asp 该编辑器目录存在任意文件上传,可以直接上传ASP一句话,通过该站目录遍历,获知到文件最后上传到/library/editornew/Editor/newImage/目录

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

拼接地址:http://**.**.**.**/library/editornew/Editor/newImage/201482310105787456.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

通用证明1:

http://**.**.**.**/library/editornew/Editor/temp.asp

http://**.**.**.**/library/editornew/Editor/newImage/20148231013659808.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

通用证明2:

http://**.**.**.**/library/editornew/Editor/temp.asp

http://**.**.**.**/library/editornew/Editor/newImage/201482310163399893.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

通用证明3:

http://**.**.**.**/library/editornew/Editor/temp.asp

http://**.**.**.**/library/editornew/Editor/newImage/20148231019374121.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

通用证明4:

http://**.**.**.**/library/editornew/Editor/temp.asp

http://**.**.**.**/library/editornew/Editor/newImage/201482310215649842.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

通用证明5:

http://**.**.**.**/library/editornew/Editor/temp.asp

http://**.**.**.**/library/editornew/Editor/newImage/201482310234338796.asp

某通用型电子采购平台从某处目录遍历到任意文件上传GetShell

修复方案:

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-08-28 09:15

厂商回复:

CNVD确认并复现所述情况,已经由CNVD通过以往建立的联系渠道向软件生产厂商网达信联公司电话和邮件通报。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

  1. 2014-08-23 15:53 | 贫道来自河北 ( 普通白帽子 | Rank:1469 漏洞数:439 | 一个立志要把乌云集市变成零食店的男人)

    1

    好腻害

  2. 2014-08-23 16:45 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟,此号处于联盟托管中....)

    0

    特么的又模仿我的洞

  3. 2014-08-23 16:54 | 超威蓝猫 ( 核心白帽子 | Rank:1133 漏洞数:122 | STEAM_0:0:55968383)

    0

    辣鸡晖 持答辩

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin