联想的最后一个沦陷站点

漏洞概要

缺陷编号:WooYun-2012-011477

漏洞标题:联想的最后一个沦陷站点

相关厂商:联想

漏洞作者:风萧萧

提交时间:2012-08-28 21:04

公开时间:2012-10-12 21:05

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2012-08-28: 细节已通知厂商并且等待厂商处理中
2012-08-28: 厂商已经确认,细节仅向厂商公开
2012-09-07: 细节向核心白帽子及相关领域专家公开
2012-09-17: 细节向普通白帽子公开
2012-09-27: 细节向实习白帽子公开
2012-10-12: 细节向公众公开

简要描述:

哎,没有乐phone,这是我发的最后联想的洞了!不给力啊!!!!

详细说明:

1.老规矩了,是这个站点呢

联想乐问吧,是咨询关于联想产品问题的地方吧!这次不牛B了。

2.我也来问个问题吧,这里只是测试呢!一不小心瞅到有个上传图片的地方呢!have a try!我上传一个正常图片看看先。

3.上传test.jpg吧,我最常用的头像,哈哈!点击上传咯

4.上传的时候,顺便抓个包看下怎么个上传的,看到filename="test.jpg",这里是不是可以改下呢?

5.看下返回的结果吧,可能包含有文件上传后的相对地址哦!果不其然呢!

6.访问下这个地址,结果如下:

漏洞证明:

7.再次上传,不过这个时候要抓包将filename的值test.jpg改成test.php,截图如下:

8.再看看返回的地址呗,哎呦我操,服务端真的没做判断呢,后缀还是.php

9.啥也不说了,操上菜刀:

修复方案:

1.客户端的过滤判断都是浮云,服务端还是需要做判断的;2.文件名是改成随机命名了,但是后缀也要改下啊;3.建议是将上传的文件存到另一个内网服务器,或者是另一台专门存放静态文件的服务器,这样即使上传成功了php文件,也不能执行了;4.如果是在没有条件的话,建议设置上传文件的目录不可执行权限!5.乐phone俺是不要了,20rank还是要的。谢谢!

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-08-28 22:58

厂商回复:

1.攻击步骤能不能别这么详细,你这是教唆……
2.修复方案这次写的很详细,赞一下……

最新状态:

暂无

评价

  1. 2010-01-01 00:00 风萧萧 白帽子 | Rank:874 漏洞数:67)

    @upload @Tea 所以就会要求:

    1 提交漏洞的时候尽量展现你的思路和想法体现技术价值;
    2 完成必要的证明的截图和文字体现你的漏洞价值。

    否则可能就会让你获得的rank降低的,[email protected] 的漏洞报告乌云体

    :)

  2. 2010-01-01 00:00 波波虎 白帽子 | Rank:260 漏洞数:50)

    你已经发了很多了

  3. 2010-01-01 00:00 upload 白帽子 | Rank:249 漏洞数:42)

    厂商回复:
    1.攻击步骤能不能别这么详细,你这是教唆……

  4. 2010-01-01 00:00 Tea 白帽子 | Rank:279 漏洞数:31)

    1.攻击步骤能不能别这么详细,你这是教唆……

  5. 2010-01-01 00:00 风萧萧 白帽子 | Rank:874 漏洞数:67)

    @upload @Tea 所以就会要求:

    1 提交漏洞的时候尽量展现你的思路和想法体现技术价值;
    2 完成必要的证明的截图和文字体现你的漏洞价值。

    否则可能就会让你获得的rank降低的,[email protected] 的漏洞报告乌云体

    :)

  6. 2010-01-01 00:00 波波虎 白帽子 | Rank:260 漏洞数:50)

    @风萧萧 你写的是发现思路,不是攻击步骤

  7. 2010-01-01 00:00 upload 白帽子 | Rank:249 漏洞数:42)

    @风萧萧 还看不见内容....坐等

  8. 2010-01-01 00:00 风萧萧 白帽子 | Rank:874 漏洞数:67)

    @波波虎 虎兄,你能看到俺的攻击步骤不?俺写的是思路啊!啊啊!!啊啊啊!!!

  9. 2010-01-01 00:00 El4pse 白帽子 | Rank:29 漏洞数:7)

    还看不见。。坐等学习思路

  10. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    思路万岁!

  11. 2010-01-01 00:00 qiaoy 白帽子 | Rank:116 漏洞数:15)

    求被教唆.....

  12. 2010-01-01 00:00 乌帽子 白帽子 | Rank:28 漏洞数:2)

    攻击步骤能不能别这么详细,你这是教唆……
    教唆……

  13. 2010-01-01 00:00 Ra1nker 白帽子 | Rank:0 漏洞数:0)

    xx87080x。楼主懂的

  14. 2010-01-01 00:00 白胡子 白帽子 | Rank:24 漏洞数:3)

    这确实是思路,不是攻击步骤

  15. 2010-01-01 00:00 褪色的黑 白帽子 | Rank:40 漏洞数:7)

    这个代理抓包软件burp越来越火爆了

  16. 2010-01-01 00:00 Seay 白帽子 | Rank:45 漏洞数:7)

    1.攻击步骤能不能别这么详细,你这是教唆……
    建议下次提交直接在详细说明那写“你懂的...”,漏洞证明上个拿下的图就是,你懂的

  17. 2010-01-01 00:00 xcl0ud 白帽子 | Rank:0 漏洞数:1)

    现在的这些厂商真j8奇葩。你少写两句吧,他说这洞没价值,看不到危害,你写详细点吧,他又说你教唆。

  18. 2010-01-01 00:00 LittlePig 白帽子 | Rank:5 漏洞数:2)

    联想这么说也不是没有道理。很有可能在联想的其他地方存在着同样的漏洞。你直接把方法捅出来了让那群[咳咳]程序员们情何以堪啊~

  19. 2010-01-01 00:00 xsser 白帽子 | Rank:152 漏洞数:17)

    最后一次 不信爱情了

  20. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @风萧萧 看来,你是没看过他们给我的回复,,,我已经不再相信爱情了。。。你懂的。。。。

  21. 2010-01-01 00:00 瘦蛟舞 白帽子 | Rank:634 漏洞数:67)

    @Coody 看过给我的答复,连基情都不信了。。。

  22. 2010-01-01 00:00 风萧萧 白帽子 | Rank:874 漏洞数:67)

    @Coody @瘦蛟舞 不好意思,看了联想给你们的回复我笑射了!哈哈哈哈

  23. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    。。。。你们都是共犯,哈哈。

  24. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @瘦蛟舞 哎。。。。。他们的回复真让这些白帽子心寒啊。。。。。

  25. 2010-01-01 00:00 Coody 白帽子 | Rank:1303 漏洞数:118)

    @风萧萧 亲,[email protected]?哈哈

  26. 2010-01-01 00:00 鬼魅羊羔 白帽子 | Rank:274 漏洞数:36)

    楼上的两位,你们这是在基情……不要单独回复,虽然我也能看见。。

  27. 2010-01-01 00:00 邪少 白帽子 | Rank:62 漏洞数:6)

    厂商回复: 1.攻击步骤能不能别这么详细,你这是教唆……