漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-054548
漏洞标题:母婴之家之一步步getshell
相关厂商:muyingzhijia.com
漏洞作者: 计算姬
提交时间:2014-03-26 12:58
修复时间:2014-05-10 12:58
公开时间:2014-05-10 12:58
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-26: 细节已通知厂商并且等待厂商处理中
2014-03-26: 厂商已经确认,细节仅向厂商公开
2014-04-05: 细节向核心白帽子及相关领域专家公开
2014-04-15: 细节向普通白帽子公开
2014-04-25: 细节向实习白帽子公开
2014-05-10: 细节向公众公开
简要描述:
母婴之家,我一步两步三步四步拿下你~最近总想学习,无奈缺少个ipad
详细说明:
注册账户不多说,对于我们还在怀孕中的妈妈,果断点准妈妈豪礼
上传个孕检证明吧
burp一下,发现可以改后缀,那我们改一下吧
后缀就改成asp的试试呗
结果上传后,访问是404.这尼玛。
试了几种格式,asp,jsp,php等都是404,难道是杀软?
jpg啊,txt,rar都OK
aspx不能执行,估计是webconfig配置问题。
尼玛,怎么办啊。传个txt不丢死人啦
哦,注意一下,这里上传,是传到图片服务器上的http://img.muyingzhijia.com/
传上去的地址为http://img.muyingzhijia.com/product/userupload/20140325010115771Chrysanthemum.txt
感觉是不是目录没权限,就通过../../../../尝试向上遍历
当然这里我们用个jpg看看能不能遍历
结果是ok的,传了个图片到根目录啦
http://img.muyingzhijia.com/Chrysanthemum.jpg
然后尼玛我们在试在根目录传asp啊等等,结果还是404尼玛
要放弃了么
然后找啊找啊就注意到上传的时候有3个upload,试一下呗
然后发现还不行啊,就这样不停的上传测试,忘记用了还有其他哪些方法了,什么截断啦,上免杀啦什么的
最终shell还是上去了。应该是多次,同时上传,然后成功的。
菜刀连一下,看看,好多东西撒
还有主站的备份东西,虽然不知道这是不是主站的服务器,但是从备份中可以看到很多东西
web.config
好多信息,拿下主站不是问题撒,测试就不搞了,而且我要上课去了。再见哈。
漏洞证明:
注册账户不多说,对于我们还在怀孕中的妈妈,果断点准妈妈豪礼
上传个孕检证明吧
burp一下,发现可以改后缀,那我们改一下吧
后缀就改成asp的试试呗
结果上传后,访问是404.这尼玛。
试了几种格式,asp,jsp,php等都是404,难道是杀软?
jpg啊,txt,rar都OK
aspx不能执行,估计是webconfig配置问题。
尼玛,怎么办啊。传个txt不丢死人啦
哦,注意一下,这里上传,是传到图片服务器上的http://img.muyingzhijia.com/
传上去的地址为http://img.muyingzhijia.com/product/userupload/20140325010115771Chrysanthemum.txt
感觉是不是目录没权限,就通过../../../../尝试向上遍历
当然这里我们用个jpg看看能不能遍历
结果是ok的,传了个图片到根目录啦
http://img.muyingzhijia.com/Chrysanthemum.jpg
然后尼玛我们在试在根目录传asp啊等等,结果还是404尼玛
要放弃了么
然后找啊找啊就注意到上传的时候有3个upload,试一下呗
然后发现还不行啊,就这样不停的上传测试,忘记用了还有其他哪些方法了,什么截断啦,上免杀啦什么的
最终shell还是上去了。应该是多次,同时上传,然后成功的。
菜刀连一下,看看,好多东西撒
还有主站的备份东西,虽然不知道这是不是主站的服务器,但是从备份中可以看到很多东西
web.config
好多信息,拿下主站不是问题撒,测试就不搞了,而且我要上课去了。再见哈。
修复方案:
加上之前的0元购物,要一起修复哈。
版权声明:转载请注明来源 计算姬@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:15
确认时间:2014-03-26 14:35
厂商回复:
感谢 计算姬@乌云 的提醒,确实存在此漏洞,若被利用会产生较严重的后果,这是我们不够严谨造成的,我们会尽快修复,非常感谢!
最新状态:
2014-05-09:已修复