泛微Eoffice 三处任意文件上传可直接getshell

漏洞概要

缺陷编号:WooYun-2015-0125592

漏洞标题:泛微Eoffice 三处任意文件上传可直接getshell

相关厂商:泛微E-Office

漏洞作者:Bear baby

提交时间:2015-07-11 12:10

公开时间:2015-10-11 14:18

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:17

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-07-11: 细节已通知厂商并且等待厂商处理中
2015-07-13: 厂商已经确认,细节仅向厂商公开
2015-07-16: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-09-06: 细节向核心白帽子及相关领域专家公开
2015-09-16: 细节向普通白帽子公开
2015-09-26: 细节向实习白帽子公开
2015-10-11: 细节向公众公开

简要描述:

在实验室奋斗了两天。。来一波

详细说明:

1.文件位置:/webservice/upload.php。相关代码如下:

没有做任何限制直接上传,文件名为原文件名,文件路径如下

构造上传表单如下:

如下图,返回内容3023528241*i.php对应路径为/attachment/3023528241/i.php

2.文件位置:inc/jquery/uploadify/uploadify.php 相关代码如下

也是没有任意过滤,文件名为原文件名,可直接上传shell。

构造上传表单如下:

如下图,返回内容1720699075 对应路径为/attachment/ 1720699075/2.php

3.文件位置:/general/weibo/javascript/LazyUploadify/uploadify.php部分相关代码如下:

还是无任何过滤,直接getshell。表单如下:

如下图返回为json格式。对应路径/attachment/2012291572/2.php

4.文件位置:/general/weibo/javascript/uploadify/uploadify.php部分代码如下:

表单可以自行构造。Fiddler请求如下

Shell路径即/attachment/log.php

带userID则对应路径/attachment/personal/$userID/$userID_temp.php如下图

漏洞证明:

在phith0n的案例中随意挑了个测试

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-07-1314:17

厂商回复:

CNVD确认所述情况,已经由CNVD通过以往建立的处置渠道向软件生产厂商通报。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    哎,这个是小厂商,看样子,文件上传这几个地方被你找到了

  2. 2010-01-01 00:00 Bear baby 白帽子 | Rank:174 漏洞数:14)

    @menmen519 昨天被你发了一波。。你找的那些我应该都有。。亏了

  3. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    @Bear baby 最新版本的,漏洞比较多,文件上传应该有六处,不过收到2000的感觉不错吧

  4. 2010-01-01 00:00 Bear baby 白帽子 | Rank:174 漏洞数:14)

    @menmen519 木有2000呢

  5. 2010-01-01 00:00 menmen519 白帽子 | Rank:624 漏洞数:73)

    @Bear baby 好吧,打雷那个应该有5000 高产

  6. 2010-01-01 00:00 贫道来自河北 白帽子 | Rank:95 漏洞数:12)

    @Bear baby 是不是1500啊

  7. 2010-01-01 00:00 浮萍 白帽子 | Rank:326 漏洞数:33)

    我了个去 这直接都$$了 我再去扒拉扒拉

  8. 2010-01-01 00:00 金枪银矛小霸王 白帽子 | Rank:93 漏洞数:8)

    @menmen519 @Bear baby 两个大牛在谈笑风声

  9. 2010-01-01 00:00 大漠長河 白帽子 | Rank:23 漏洞数:3)

    看到千元美刀优先进来参观学习