qibocms 地方门户系统文件包含致无限制Getshell

2015年7月26日10:31:18评论406 views字数 212阅读0分42秒阅读模式

摘要

2014-10-31：细节已通知厂商并且等待厂商处理中
2014-10-31：厂商已经确认，细节仅向厂商公开
2014-11-03：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2014-12-25：细节向核心白帽子及相关领域专家公开
2015-01-04：细节向普通白帽子公开
2015-01-14：细节向实习白帽子公开
2015-01-29：细节向公众公开

漏洞概要关注数(57) 关注此漏洞

缺陷编号： WooYun-2014-81470

漏洞标题： qibocms 地方门户系统文件包含致无限制Getshell

漏洞作者： ′雨。

提交时间： 2014-10-31 13:59

公开时间： 2015-01-29 14:00

漏洞类型： SQL注射漏洞

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

8人收藏

漏洞详情

披露状态：

简要描述：

好歹是一般应用注入都走了小厂商这个上个首页把。

无需登录无任何限制条件。

demo测试

详细说明：

在/hr/listperson.php中

code 区域

$template_file=getTpl("list_$fidDB[mid]",$FidTpl['list']);//注意这里的$FidTpl 这里并没有初始化 导致可以控制
 
 fetch_label_value(array('pagetype'=>'4','file'=>$template_file,'module'=>$webdb['module_id']));
 
 
 require(ROOT_PATH."inc/head.php");
 require($template_file)//包含;

getTpl 来看看这个

code 区域

function getTpl($html,$tplpath=''){
  global $STYLE;
 //这里的$tplpath可控的
  if($tplpath&&file_exists($tplpath)){
   return $tplpath;//如果文件存在 那么就直接return
  }elseif($tplpath&&file_exists(Mpath.$tplpath)){
   return Mpath.$tplpath;
  }elseif(file_exists(Mpath."template/$STYLE/$html.htm")){
   return Mpath."template/$STYLE/$html.htm";
  }else{
   return Mpath."template/default/$html.htm";
  }
 }

require($template_file) //return后就直接包含了没限制后缀导致了可以直接包含任意格式的所以无需截断。

再找找哪里能上传图片。找了半天都是需要登录的上传。

终于找到了一处不需要登录的上传

http://**.**.**.**/hy/choose_pic.php

上传后直接包含

Getshell

漏洞证明：

修复方案：

限制后缀啥的?不懂。

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-10-31 14:15

厂商回复：

感谢提出来！

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-10-31 14:01 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )

1

尼玛、还来

1# 回复此人
2014-10-31 14:10 | 一只寂寞的小鸟 ( 实习白帽子 | Rank:46 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)

1

你叼

2# 回复此人
2014-10-31 16:11 | erevus ( 普通白帽子 | Rank:201 漏洞数:33 )

0

说好的好好高考呢

3# 回复此人
2014-10-31 16:29 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

0

6666666666666666666

4# 回复此人
2014-10-31 19:40 | Jewer ( 路人 | Rank:8 漏洞数:2 | 我很苦逼。)

0

还要不要人活啊！

5# 回复此人
2014-11-02 19:08 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)

0

你关注的白帽子 ′雨。发表了漏洞 qibocms 地方门户系统文件包含致无限制Getshell

6# 回复此人
2014-11-05 17:30 | goubuli ( 普通白帽子 | Rank:689 漏洞数:122 )

0

Mark

7# 回复此人
2014-11-06 09:01 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了，也来挖挖漏洞，为创建安全...)

0

靠，又是两$

8# 回复此人
2014-11-16 21:26 | 发条橙子 ( 路人 | Rank:19 漏洞数:6 | ∑(っ °Д °;)っ)

1

FidTpl[list]

9# 回复此人
2014-12-05 22:30 | 微尘 ( 普通白帽子 | Rank:234 漏洞数:78 )

2

好像都打补丁了、

10# 回复此人
2015-01-29 20:22 | 风炫 ( 路人 | Rank:2 漏洞数:6 | 菊花残，满地伤)

0

你这里的可控是指register_globals开启的情况下吗？

11# 回复此人
2015-01-29 21:01 | ′雨。 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)

0

@风炫不需要 qibo是伪全局，

12# 回复此人
2015-02-26 14:46 | sseeoo ( 路人 | Rank:14 漏洞数:3 | 度娘学习)

0

http://www.465200.cn/hy/choose_pic.php http://zqjv.com/hy/choose_pic.php http://shiguangbao.cn/hy/choose_pic.php http://www.11111xinxiwang.com/hy/choose_pic.php http://www.juexing.net/hy/choose_pic.php http://www.cgxxw.cn/hy/choose_pic.php http://www.7-jz.com/hy/choose_pic.php http://www.wxtxgj.com/hy/choose_pic.php http://www.gdylhm.com/hy/choose_pic.php http://www.zhentou.net/hy/choose_pic.php http://www.369bx.com/hy/choose_pic.php http://www.chongdiandianchi.net/hy/choose_pic.php http://www.chinayyw.net/hy/choose_pic.php http://www.gxylnews.com/hy/choose_pic.php http://www.88gq.com/hy/choose_pic.php http://www.aiteel.com/hy/choose_pic.php http://hechi.xjwy.cn/hy/choose_pic.php http://zhidianxy.com/hy/choose_pic.php 怎么利用？？？上传只能GIF和JPG啊

13# 回复此人

漏洞概要 关注数(57) 关注此漏洞

缺陷编号： WooYun-2014-81470

漏洞标题： qibocms 地方门户系统文件包含致无限制Getshell

相关厂商： 齐博CMS

漏洞作者： ′雨。

提交时间： 2014-10-31 13:59

公开时间： 2015-01-29 14:00

漏洞类型： SQL注射漏洞

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

8人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(57) 关注此漏洞

相关厂商：齐博CMS

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

漏洞评价(共0人评价):

登陆后才能进行评分