某政府类CMS任意文件上传

漏洞概要

缺陷编号:WooYun-2014-053969

漏洞标题:某政府类CMS任意文件上传

相关厂商:cncert国家互联网应急中心

漏洞作者:U神

提交时间:2014-03-21 10:55

公开时间:2014-06-17 10:55

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签:

漏洞详情

披露状态:

2014-03-21: 细节已通知厂商并且等待厂商处理中
2014-03-27: 厂商已经确认,细节仅向厂商公开
2014-03-30: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航、无声信息)
2014-05-21: 细节向核心白帽子及相关领域专家公开
2014-05-31: 细节向普通白帽子公开
2014-06-10: 细节向实习白帽子公开
2014-06-17: 细节向公众公开

简要描述:

详细说明:

#1.这套JSP的系统主要用于政府网站,该系统中某个上传功能没有对上传文件进行任何判断,导致可以上传任意文件到网站目录可getshell,我们来看看文件comm_front/tzzx/chooseImageTools.jsp代码:

comm_front/tzzx/uploadImageFile_do.jsp代码

#2.从上面可看出,只在上传页面中做了JS判断文件的类型,服务端没有判断文件的类型,这样我们就可以禁用JS或者本地构造上传页面来上传任意文件,构造EXP如下:

漏洞证明:

#3.该CMS主要用于政府类的,可以通过谷歌、百度、搜狗等搜索引擎来爬行存在该上传漏洞文件的网站,由于CMS的url根据网站名称和导航标题等随机因素来命名,还是静态页面导致特征比较难构造,但这里还是提供下:

通过搜索引擎,罗列了不少存在该漏洞的网站,请求通报修复该高危漏洞:

#4.漏洞如何利用?我们以第一个网站做安全测试,通过我们构造的本地上传页面,上传一个JSP文件,然后通过源代码获取到文件名称。

然后根据"uploadImageFile_do.jsp"代码可以看的出,上传的文件在“cms/siteResource/uploadfiles/tzzx/”目录下,结合我们获取的文件名,就知道文件地址是:

修复方案:

PS:本次仅测试了其一,由于使用同一款CMS,其它通用!测试的Shell已删除,求不跨省,请求Cncert尽快通报该漏洞通知网站管理员早日修复漏洞,少让政府网遭殃!--证书经验累积中......---

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2014-03-2708:47

厂商回复:

CNVD确认并复现所述多个实例情况,并提取CMS应用特征,根据测试结果,主要协调湖南分中心,由其后续协调当地软件生产厂商,并将所述测试得到的用例分别协调网站管理单位处置。rank 20+

最新状态:

暂无

评价

  1. 2010-01-01 00:00 http://www.wooyun.org/corps/cncert国家互联网应急中心 白帽子 | Rank:0 漏洞数:0)

    先赞一个。

  2. 2010-01-01 00:00 adm1n 白帽子 | Rank:110 漏洞数:12)

    MARK

  3. 2010-01-01 00:00 h35h4n9 白帽子 | Rank:0 漏洞数:1)

    mark

  4. 2010-01-01 00:00 ChriSt 白帽子 | Rank:14 漏洞数:2)

    MARK

  5. 2010-01-01 00:00 90_ 白帽子 | Rank:32 漏洞数:7)

    任意上传,这个略叼。 少见了

  6. 2010-01-01 00:00 野驴~ 白帽子 | Rank:5 漏洞数:2)

    啤酒饮料矿泉水,花生瓜子小板凳,前面让一让

  7. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @cncert国家互联网应急中心 我去?cert赞了啊?看来很严重?

  8. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @wefgod 你想多了,他只是上错号了。。。。。

  9. 2010-01-01 00:00 wefgod 白帽子 | Rank:1438 漏洞数:124)

    @Coody 擦……

  10. 2010-01-01 00:00 魇 白帽子 | Rank:1149 漏洞数:85)

    @Coody cncert也有小号?

  11. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @魇 哈哈……

  12. 2010-01-01 00:00 爱上襄阳 白帽子 | Rank:262 漏洞数:35)

    关注政府漏洞
    ·

  13. 2010-01-01 00:00 U神 白帽子 | Rank:788 漏洞数:65)

    @cncert国家互联网应急中心 求确认,马上要忽略了~

  14. 2010-01-01 00:00 魇 白帽子 | Rank:1149 漏洞数:85)

    @U神 现在忽略时间貌似改了?

  15. 2010-01-01 00:00 U神 白帽子 | Rank:788 漏洞数:65)

    @魇 你知道是几天么?目测是7天

  16. 2010-01-01 00:00 huc-ray 白帽子 | Rank:13 漏洞数:1)

    0.0

  17. 2010-01-01 00:00 铁蛋火车侠 白帽子 | Rank:112 漏洞数:13)

    很吊的赶脚

  18. 2010-01-01 00:00 loli 白帽子 | Rank:590 漏洞数:49)

    多少经验才能有CERT证书啊。。。