TRS WCM 6.X系统任意文件写入漏洞 | wooyun-2013-034315| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-034315

漏洞标题：TRS WCM 6.X系统任意文件写入漏洞

漏洞作者：鶆鶈

提交时间：2013-08-14 08:55

修复时间：2013-09-28 08:56

公开时间：2013-09-28 08:56

漏洞类型：文件上传导致任意代码执行

危害等级：中

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-08-14：细节已通知厂商并且等待厂商处理中
2013-08-14：厂商已经确认，细节仅向厂商公开
2013-08-24：细节向核心白帽子及相关领域专家公开
2013-09-03：细节向普通白帽子公开
2013-09-13：细节向实习白帽子公开
2013-09-28：细节向公众公开

简要描述：

可以直接向服务器写入文件，文件名和内容可自定义；
影响版本未知，大概是6.X吧，收费的家伙也没条件一一测试；
是否通用未知，网上搜索了几个，都存在这问题。

详细说明：

TRS WCM的Web Service提供了向服务器写入文件的方式，可以直接写jsp文件获取webshell。
Web Service路径：http://xx~/wcm/services，web service信息大概是这个样子的：

trswcm:ImportService (wsdl)
        importDocuments 
    urn:FileService (wsdl)
        sendFileBase64 
    trswcm:GetChannelInfoService (wsdl)
        getAllChannelXML
        getChannelXML 
    trswcm:GetSOAPInfoService (wsdl)
        getMajorVersion 
    trswcm:SOAPService (wsdl)
        getMajorVersion
        importDocuments
        uploadFile
        importDocumentsByLocalFile
        getAllChannelXML
        getChannelChildrenXML
        getChannelXML
        getSiteXML
        sendFileBase64 
...
    trs:templateservicefacade (wsdl)
        logout
        login
        writeFile
        preview
        checkin
        checkout
        getAllSettings
        getSettingByType
        confirm
        getSettingTypeList
        getAllSites
        writeSpecFile
        makeTemplateFolder 
    trswcm:UploadService (wsdl)
        uploadFile
        sendFileBase64

经测试其中trs:templateservicefacade服务的writeFile和writeSpecFile两个操作都可以向服务器写入文件，其它还有些sendFileBase64、uploadFile之类的没试过了。
1.writeFile和writeSpecFile两个操作参数差不多，第一个参数都是base64加密后的文件内容；
2.writeFile方式会返回物理路径,使用writeSpecFile前需要用writeFile获取路径；
3.writeFile第二参数是文件后缀名,在windows版本下可以利用../跳转目录;
4.writeSpecFile第二个参数是文件绝对路径，这个就随便搞了；
5.访问大部分JSP页面时系统经常会验证是否登陆，否则跳转，一般写这几个地方就OK(这几个默认是没有的)：
~/wcm/index.jsp
~/wcm/demo/index.jsp
~/wcm/include/login.jsp
...more...
6.注意：writeSpecFile会覆盖原文件，writeFile则会返回失败，不会覆盖原文件;
7....

漏洞证明：

这个我没试过，图片是别人发给我的，我不大清楚咧。
writeFile:

writeSpecFile:

修复方案：

NULL.

版权声明：转载请注明来源鶆鶈@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：10

确认时间：2013-08-14 16:37

厂商回复：

非常感谢您的反馈，我们已确认问题并制定修复方案，马上会发布安全更新。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-034315

漏洞标题：TRS WCM 6.X系统任意文件写入漏洞

相关厂商：北京拓尔思信息技术股份有限公司

漏洞作者：鶆鶈

提交时间：2013-08-14 08:55

修复时间：2013-09-28 08:56

公开时间：2013-09-28 08:56

漏洞类型：文件上传导致任意代码执行

危害等级：中

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源鶆鶈@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-034315

漏洞标题：TRS WCM 6.X系统任意文件写入漏洞

相关厂商：北京拓尔思信息技术股份有限公司

漏洞作者： 鶆鶈

提交时间：2013-08-14 08:55

修复时间：2013-09-28 08:56

公开时间：2013-09-28 08:56

漏洞类型：文件上传导致任意代码执行

危害等级：中

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-034315"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 鶆鶈@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：鶆鶈

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源鶆鶈@乌云