惠尔顿上网行为管理系统任意文件下载及信息泄露八处(无需登录)

漏洞概要

缺陷编号:WooYun-2015-0103857

漏洞标题:惠尔顿上网行为管理系统任意文件下载及信息泄露八处(无需登录)

相关厂商:cncert国家互联网应急中心

漏洞作者:xfkxfk

提交时间:2015-03-28 15:38

公开时间:2015-06-29 08:36

漏洞类型:任意文件遍历/下载

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2015-03-28: 细节已通知厂商并且等待厂商处理中
2015-03-31: 厂商已经确认,细节仅向厂商公开
2015-04-03: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-05-25: 细节向核心白帽子及相关领域专家公开
2015-06-04: 细节向普通白帽子公开
2015-06-14: 细节向实习白帽子公开
2015-06-29: 细节向公众公开

简要描述:

惠尔顿上网行为管理系统任意文件下载及信息泄露八处(无需登录)

详细说明:

惠尔顿上网行为管理系统任意文件下载及信息泄露八处(无需登录)官网经典案例:http://**.**.**.**/Anli.php外网部分实际案例:

先来看看五处任意文件下载吧首先简单过滤一下base目录下可能存在漏洞的文件:

然后手工打开文件依次看看是否存在漏洞最后剩下这五处存在漏洞:

来看看第一个的代码:/base/web/downAnnex.php

直接fopen了$_REQUEST['path']在看下一个:文件/base/stats/download.php

代码最后直接readfile($upload_dir.$upload_name)其他的基础原理都一样无需登录,直接下载你想要的任意文件即可都是一个类型的path为要下载的文件的路径filename为要下载的文件的名称,或者下载后的命名名称以第一个为例

下载后111111文件就是downAnnex.php文件的源代码了比如最后一个

下载后222222文件就是/etc/shadow文件的内容了============================================================================下面来看看可以随意下载系统配置文件的,无需登录,没有验证,直接下载系统配置文件,导致系统敏感信息泄漏,比如系统配置信息,系统用户账户信息等当然前面还有白帽子已经提交过一些了,这里再找出来三个

来看看第一个代码文件/base/sys/backfile.php

当m=backup时,直接调用down_load函数,然后下载了系统的备份文件及系统全部配置信息内容以第一个为例,发送请求后下载sys_date.bak文件,要使用routerpassview.exe工具打开里面有各种系统信息,比如这里的账户:

再比如第二个,下载的config.bak文件,里面的敏感信息更多

漏洞证明:

见详细说明

修复方案:

没有比重写更好的建议

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-3108:34

厂商回复:

CNVD确认并复现所述情况,已经由CNVD直接向软件生产厂商_深圳惠尔顿公司电话和邮件通报.

最新状态:

暂无

评价

  1. 2010-01-01 00:00 sco4x0 白帽子 | Rank:6 漏洞数:2)

    又开刷了。。

  2. 2010-01-01 00:00 sin 白帽子 | Rank:20 漏洞数:1)

    66666

  3. 2010-01-01 00:00 BeenQuiver 白帽子 | Rank:50 漏洞数:6)

    简单直白杀伤力高