当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(6) 关注此漏洞

缺陷编号: WooYun-2012-04683

漏洞标题: 中国联通客服平台任意文件上传

相关厂商: 中国联通

漏洞作者: only_guest认证白帽子

提交时间: 2012-02-23 11:34

公开时间: 2012-04-06 11:35

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

0人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-02-23: 细节已通知厂商并且等待厂商处理中
2012-02-21: 厂商已经确认,细节仅向厂商公开
2012-03-02: 细节向核心白帽子及相关领域专家公开
2012-03-12: 细节向普通白帽子公开
2012-03-22: 细节向实习白帽子公开
2012-04-06: 细节向公众公开

简要描述:

中国联通客服平台任意文件上传导致可以获取webshell.

详细说明:

采用了用友的ICC客服系统.该系统存在严重安全隐患



http://**.**.**.**/5107/upload/uploadFlash.php



代码如下

code 区域
<?php


/**


 * uploadFlash.php


 * Flash文件上传.


 */


require_once('../global.inc.php');





//operateId=1 上传,operateId=2 获取地址.


$operateId	= intval($_REQUEST['operateId']);


if(empty($operateId)) exit;





if($operateId == 1){


	$date = date("Ymd");


	$dest = $CONFIG->basePath."data/files/".$date."/";


	$COMMON->createDir($dest);


	//if (!is_dir($dest))	mkdir($dest, 0777);


	


	$nameExt = strtolower($COMMON->getFileExtName($_FILES['Filedata']['name']));


	


	$allowedType = array('jpg', 'gif', 'bmp', 'png', 'jpeg');


	


	if(!in_array($nameExt, $allowedType)){


		$msg = 0;


	}


	if(empty($msg)){


		$filename = getmicrotime().'.'.$nameExt;


		$file_url = urlencode($CONFIG->baseUrl.'data/files/'.$date."/".$filename);


		


		$filename = $dest.$filename;


		if(empty($_FILES['Filedata']['error'])){


			move_uploaded_file($_FILES['Filedata']['tmp_name'],$filename);


		}


		


		if (file_exists($filename)){


			//$msg = 1;


			$msg = $file_url;


			@chmod($filename, 0444);


		}else{


			$msg = 0;


		}


	}


	$outMsg = "fileUrl=".$msg;


	$_SESSION["eoutmsg"] = $outMsg;


	exit;


}else if($operateId == 2){


	$outMsg = $_SESSION["eoutmsg"];


	if(!empty($outMsg)){


		session_unregister("eoutmsg");


		echo '&'.$outMsg;


		exit;


	}else{


		echo "&fileUrl=0";


		exit;


	}


}





function getmicrotime(){ 


    list($usec, $sec) = explode(" ",microtime()); 


    return ((float)$usec + (float)$sec); 


}





?>





存在逻辑错误.可以导致任意文件上传.

漏洞证明:

http://**.**.**.**/data/files/20111109/1320824790.09.php

上面为一句话后门地址

密码为only

修复方案:

找用友升级一下吧.

版权声明:转载请注明来源 only_guest@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:17

确认时间:2012-02-21 20:41

厂商回复:

CNVD确认漏洞存在且确认测试后门存在。
CNVD对本漏洞评分如下:
基本得分CVSS:(AV:R/AC:L/Au:NR/C:C/A:C/I:C/B:C) score:10.00(高危)
技术难度系数:1.1(有一定难度)
影响危害系数:1.5(较严重)
CNVD综合评分:10.00*1.1*1.5=16.5

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2012-03-23 10:11 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
    1

    不会PHP 有人能解释一下 uploadFlash.php 什么地方出问题了吗?

    1# 回复此人
  2. 2012-03-23 10:18 | x-star ( 普通白帽子 | Rank:124 漏洞数:13 | Windows/Linux Kernel. Information Secur...)
    1

    看懂了

    2# 回复此人

登录后才能发表评论,请先 登录