漏洞概要
关注数(24)
关注此漏洞
漏洞标题:长江网某云平台后台管理弱口令+上传漏洞
提交时间:2014-04-07 12:15
修复时间:2014-05-22 12:16
公开时间:2014-05-22 12:16
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:12
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2014-04-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-22: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
长江网某云平台后台管理存在弱口令,登陆后某个上传文件的地方没有进行任何过滤,可直接上传Webshell!
详细说明:
(刚才提交的写得不完整,所以做了一些修改重新提交)
使用Google Hacking语句构造"inurl:filemanage.php",即可找到长江网移动智能报刊信息发布云平台的后台管理页面:
http://cjmb.cjn.cn/cjnadmin_tmp/web/index.php
如果是用域名cjmb.cjn.cn直接在百度和谷歌搜索都会出现管理页面,从百度快照也可看出后台的内容。
但是这里的管理页面还只是一个临时库,从搜索结果可看出有cjn这个用户,密码解不出来,用admin也猜解不出,不过,既然有tmp就应该有正式库,所以就尝试了
http://cjmb.cjn.cn/cjnadmin/web/index.php
再尝试了一下admin / 111111,竟然登陆成功,弱口令!
然后在后台找到一个“原版原样”栏目,里面有个多媒体文件管理,尝试上传shell,在images和mp3中都上传失败后,在mp4文件夹中上传竟然成功了!用菜刀一连,也成功了!
并且能执行命令,虽然只是apache权限,但是可以进一步提权,我就不继续了,赶紧上报!
漏洞证明:
为了进一步确认是否此漏洞的存在,查看相关页面的代码:
上面是filemanage.php页面的上传功能的相关代码,可以看出只对images和mp3两类文件类型的后缀名进行了白名单过滤,但是却没有对mp4文件类型进行任何过滤,不知为何。
修复方案:
首先,修改后台管理的登陆密码,把密码设得复杂些,后来,在上传mp4文件类型处进行过滤。
漏洞回应