当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(57) 关注此漏洞

缺陷编号: WooYun-2014-81470

漏洞标题: qibocms 地方门户系统文件包含致无限制Getshell

相关厂商: 齐博CMS

漏洞作者: ′雨。认证白帽子

提交时间: 2014-10-31 13:59

公开时间: 2015-01-29 14:00

漏洞类型: SQL注射漏洞

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

8人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-10-31: 细节已通知厂商并且等待厂商处理中
2014-10-31: 厂商已经确认,细节仅向厂商公开
2014-11-03: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2014-12-25: 细节向核心白帽子及相关领域专家公开
2015-01-04: 细节向普通白帽子公开
2015-01-14: 细节向实习白帽子公开
2015-01-29: 细节向公众公开

简要描述:

好歹是一般应用 注入都走了小厂商 这个上个首页把。

无需登录 无任何限制条件。

demo测试

详细说明:

在/hr/listperson.php中



code 区域
$template_file=getTpl("list_$fidDB[mid]",$FidTpl['list']);//注意这里的$FidTpl 这里并没有初始化 导致可以控制





fetch_label_value(array('pagetype'=>'4','file'=>$template_file,'module'=>$webdb['module_id']));








require(ROOT_PATH."inc/head.php");


require($template_file)//包含;





getTpl 来看看这个



code 区域
function getTpl($html,$tplpath=''){


	global $STYLE;


//这里的$tplpath可控的


	if($tplpath&&file_exists($tplpath)){


		return $tplpath;//如果文件存在 那么就直接return


	}elseif($tplpath&&file_exists(Mpath.$tplpath)){


		return Mpath.$tplpath;


	}elseif(file_exists(Mpath."template/$STYLE/$html.htm")){


		return Mpath."template/$STYLE/$html.htm";


	}else{


		return Mpath."template/default/$html.htm";


	}


}





require($template_file) //return后就直接包含了 没限制后缀 导致了可以直接包含任意格式的 所以 无需截断 。



再找找哪里能上传图片。 找了半天 都是需要登录的上传。



终于找到了一处不需要登录的上传



http://**.**.**.**/hy/choose_pic.php



上传后 直接包含





q9.jpg





Getshell

漏洞证明:

q9.jpg

修复方案:

限制后缀啥的?不懂。

版权声明:转载请注明来源 ′雨。@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-10-31 14:15

厂商回复:

感谢提出来!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2014-10-31 14:01 | 老和尚 ( 普通白帽子 | Rank:223 漏洞数:45 )
    1

    尼玛、还来

    1# 回复此人
  2. 2014-10-31 14:10 | 一只寂寞的小鸟 ( 实习白帽子 | Rank:46 漏洞数:11 | ส็็็็็็็็็็็็็็็็็็็...)
    1

    你叼

    2# 回复此人
  3. 2014-10-31 16:11 | erevus ( 普通白帽子 | Rank:197 漏洞数:33 )
    0

    说好的好好高考呢

    3# 回复此人
  4. 2014-10-31 16:29 | 1c3z ( 普通白帽子 | Rank:297 漏洞数:63 | @)!^)
    0

    6666666666666666666

    4# 回复此人
  5. 2014-10-31 19:40 | Jewer ( 路人 | Rank:8 漏洞数:2 | 我很苦逼。)
    0

    还要不要人活啊!

    5# 回复此人
  6. 2014-11-02 19:08 | Mxx ( 路人 | Rank:0 漏洞数:2 | 没有)
    0

    你关注的白帽子 ′雨。 发表了漏洞 qibocms 地方门户系统文件包含致无限制Getshell

    6# 回复此人
  7. 2014-11-05 17:30 | goubuli ( 普通白帽子 | Rank:587 漏洞数:114 )
    0

    Mark

    7# 回复此人
  8. 2014-11-06 09:01 | nzk1912 ( 实习白帽子 | Rank:41 漏洞数:10 | 软件开发8年了,也来挖挖漏洞,为创建安全...)
    0

    靠,又是两$

    8# 回复此人
  9. 2014-11-16 21:26 | 发条橙子 ( 路人 | Rank:19 漏洞数:6 | ∑(っ °Д °;)っ)
    1

    FidTpl[list]

    9# 回复此人
  10. 2014-12-05 22:30 | 微尘 ( 普通白帽子 | Rank:226 漏洞数:76 )
    2

    好像都打补丁了、

    10# 回复此人
  11. 2015-01-29 20:22 | 风炫 ( 路人 | Rank:2 漏洞数:6 | 菊花残,满地伤)
    0

    你这里的可控是指register_globals开启的情况下吗?

    11# 回复此人
  12. 2015-01-29 21:01 | ′雨。 认证白帽子 ( 普通白帽子 | Rank:1332 漏洞数:198 | Only Code Never Lie To Me.)
    0

    @风炫 不需要 qibo是伪全局,

    12# 回复此人
  13. 2015-02-26 14:46 | sseeoo ( 路人 | Rank:14 漏洞数:3 | 度娘学习)
    0

    http://www.465200.cn/hy/choose_pic.php http://zqjv.com/hy/choose_pic.php http://shiguangbao.cn/hy/choose_pic.php http://www.11111xinxiwang.com/hy/choose_pic.php http://www.juexing.net/hy/choose_pic.php http://www.cgxxw.cn/hy/choose_pic.php http://www.7-jz.com/hy/choose_pic.php http://www.wxtxgj.com/hy/choose_pic.php http://www.gdylhm.com/hy/choose_pic.php http://www.zhentou.net/hy/choose_pic.php http://www.369bx.com/hy/choose_pic.php http://www.chongdiandianchi.net/hy/choose_pic.php http://www.chinayyw.net/hy/choose_pic.php http://www.gxylnews.com/hy/choose_pic.php http://www.88gq.com/hy/choose_pic.php http://www.aiteel.com/hy/choose_pic.php http://hechi.xjwy.cn/hy/choose_pic.php http://zhidianxy.com/hy/choose_pic.php 怎么利用???上传只能GIF和JPG啊

    13# 回复此人

登录后才能发表评论,请先 登录