致远A8-V5协同管理软件普通用户任意文件上传(通杀V5)

漏洞概要

缺陷编号:WooYun-2014-088260

漏洞标题:致远A8-V5协同管理软件普通用户任意文件上传(通杀V5)

相关厂商:seeyon.com

漏洞作者:路人甲

提交时间:2014-12-23 14:26

公开时间:2015-02-06 14:28

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2014-12-23: 细节已通知厂商并且等待厂商处理中
2014-12-26: 厂商已经确认,细节仅向厂商公开
2014-12-29: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2015-02-19: 细节向核心白帽子及相关领域专家公开
2015-03-01: 细节向普通白帽子公开
2015-03-11: 细节向实习白帽子公开
2015-02-06: 细节向公众公开

简要描述:

这几天一直在琢磨致远A8-V5,昨天发现几个小问题,今天进一步挖掘到任意文件上传漏洞。

详细说明:

致远A8-V5协同管理软件允许普通用户调用本属于system·权限的功能【登陆页模板管理】,虽然不能利用浏览器直接访问该功能,提示权限不足,但是直接发送数据包即可成功。致远A8-V5协同管理软件充分的考虑了上传文件所带来的危险,全系统都采用上传文件缓存到web目录以外,不能直接获取webshell。但利用【登陆页模板管理】处的文件缓存迁移到web目录功能即可获取webshell。

漏洞证明:

演示地址:http://**.**.**.**/演示账户:scyd/123456,泄露的log中获取到的。步骤:1.利用合法会话获取模板的ID2.突破限制上传jsp可执行文件3.利用动态迁移技术将缓存到web目录以外的文件迁移到web任意目录证明开始:1.利用合法会话获取模板的IDrequest:

response:

此处需要记录response中的参数id的值26766941551427786332.突破限制上传jsp可执行文件需要修改原始post请求中的extensions,在“jpg,jpeg,gif,bmp,png”后添加jsp;修改filename的文件名由.jsg改为.jsp修改后request如下:

在response中查找".jsp"

记录

中的值”-4028755744185366901“3.利用动态迁移技术将缓存到web目录以外的文件迁移到web任意目录先看看源代码是怎么写的

成功的关键是需要两个参数,一个是picFileId,一个是targetUrl好了,在此次演示中picFileId的值为步骤二里面的-4028755744185366901targetUrl=

picFileId 已知hotspotvalue可以自定义被自定义的位置为最后一行,步骤一中得到的id如果不同,需要替换下面的id为步骤一中的idrequest如下:

response响应为null即可成功,此处将存储到非web目录的缓存文件迁移到了web目录webshell地址

【【【【【【注意删不掉】】】】】】【【【【【【不是我不删】】】】】】

修复方案:

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-12-2610:20

厂商回复:

已经复现,正在解决。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 路人甲.. 白帽子 | Rank:0 漏洞数:0)

    上传才给10rank,好可怕!

  2. 2010-01-01 00:00 Neeke 白帽子 | Rank:86 漏洞数:8)

    上传才给10rank,好可怕!

  3. 2010-01-01 00:00 sky 白帽子 | Rank:40 漏洞数:7)

    威武霸气~

  4. 2010-01-01 00:00 小胖子 白帽子 | Rank:1429 漏洞数:107)

    洞主看到提示私聊个联系方式交流交流啊

  5. 2010-01-01 00:00 灰太狼 白帽子 | Rank:69 漏洞数:8)

    洞主看到提示私聊个联系方式交流交流啊

  6. 2010-01-01 00:00 小哇 白帽子 | Rank:0 漏洞数:0)

    收包发包用的什么工具呀

  7. 2010-01-01 00:00 0xffffff 白帽子 | Rank:0 漏洞数:1)

    洞主问一下,普通用户打开fileUpload.do不是可以直接上传任意文件么?如何控制呢?

  8. 2010-01-01 00:00 harbour_bin 白帽子 | Rank:463 漏洞数:36)

    洞主看到留言能否私信一下, 想请教一些问题

  9. 2010-01-01 00:00 萨瓦迪卡 白帽子 | Rank:87 漏洞数:6)

    @小胖子 致远绕过文件格式限制上传,上传文件路径在哪?

  10. 2010-01-01 00:00 剑影 白帽子 | Rank:77 漏洞数:7)

    这个动态迁移技术功能在哪里啊

  11. 2010-01-01 00:00 10457793 白帽子 | Rank:239 漏洞数:20)

    @剑影 我猜是程序自身的缓存迁移设计

  12. 2010-01-01 00:00 剑影 白帽子 | Rank:77 漏洞数:7)

    找不到在哪

  13. 2010-01-01 00:00 sky666 白帽子 | Rank:55 漏洞数:4)

    洞主看到提示私聊个联系方式交流交流啊

  • N/A