EnableQ官方免费版存在多处任意文件上传,免登陆可直接getshell

漏洞概要

缺陷编号:WooYun-2015-0128219

漏洞标题:EnableQ官方免费版存在多处任意文件上传,免登陆可直接getshell

相关厂商:北京科维能动信息技术有限公司

漏洞作者:Bear baby

提交时间:2015-07-21 22:25

公开时间:2015-10-20 13:51

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:18

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

Tags标签:

漏洞详情

披露状态:

2015-07-21: 细节已通知厂商并且等待厂商处理中
2015-07-22: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-15: 细节向核心白帽子及相关领域专家公开
2015-09-25: 细节向普通白帽子公开
2015-10-05: 细节向实习白帽子公开
2015-10-20: 细节向公众公开

简要描述:

《一直默默努力》
版本:EnableQ_V9.10_免费版_2问卷许可证_整合安装包_For Windows
下载路径:
http://www.enableq.com/control/WebAPI/Download.php?downloadID=52&language=CN

详细说明:

看页面上面的下载次数还挺多的 ,26万多次下载。

虽然官方已经更新到10.20但是提供的免费版还是9.10版,简单分析一下,该版本存在多处任意文件上传漏洞,导致可直接Getshell。文件位置:Android/FileUpload.php部分代码如下:

没啥验证即可上传任意文件,保存位置为PerUserData/tmp/根据上面的代码构造一个上传页面如下,

Fiddler抓包如下:

对应路径即为:/PerUserData/tmp/20150721211248628.php,如下图

第二处文件位置:/JS/DistributionUpload.php部分代码如下:

和第一个代码基本一致,没过滤。稍微更改下构造的上传页面如下:

Fiddler抓包如下:

这个倒是连文件名都没改,对应路径/PerUserData/tmp/i.php,如下图。

第三处文件位置:/JS/FileUpload.php相关代码如下:

构造上传页面同第二个。Fiddler抓包如下:

如下图

剩下文件位置:/JS/RecFileUpload.php/JS/ReportFileUpload.php代码问题、构造上传页面和第三个一致,此处不再叙说。另有几处上传问题默认需要增强许可授权,此处不贴出。

漏洞证明:

修复方案:

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-2013:51

厂商回复:

https:///vul/info/qid/QTVA-2014-
该漏洞存在于老版本,并且在360漏洞平台上2014-12-02已经报告,[email protected] baby

最新状态:

暂无

评价

  1. 2010-01-01 00:00 Bear baby 白帽子 | Rank:174 漏洞数:14)

    审核的同志幸苦了。。这么晚还在工作。向您致敬。。