当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-060147

漏洞标题:逐浪cms两处文件上传漏洞(有服务器环境限制)

相关厂商:逐浪CMS

漏洞作者: what_news

提交时间:2014-05-10 21:51

修复时间:2014-08-05 21:52

公开时间:2014-08-05 21:52

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:5

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-05-10: 细节已通知厂商并且等待厂商处理中
2014-05-11: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-07-05: 细节向核心白帽子及相关领域专家公开
2014-07-15: 细节向普通白帽子公开
2014-07-25: 细节向实习白帽子公开
2014-08-05: 细节向公众公开

简要描述:

也是要结合iis6的解析漏洞,不知道这两处跟之前提交的会不会重复

详细说明:

由于官网不是iis6的环境
我本地进行测试
第一处

http://127.0.0.1/Plugins/ckfinder/ckfinder.html


在左边文件夹Files下新建字幕了1.asp 然后点击1.asp目录然后上传图片木马3.gif

510.png


然后右键查看文件 就可以看到文件地址了

511.png


文件地址

http://127.0.0.1/UploadFiles/files/1.asp/3.GIF


第二处

http://127.0.0.1/plugins/imageupload.aspx


protected void btnUpload_Click(object sender, EventArgs e)
{
    string str = "";
    string str2 = Path.GetExtension(this.fup_Image.FileName).ToLower();
    if (!this.CheckFilePostfix(str2.Replace(".", ""))) //上传文件类型白名单可以自己设置
    {
        this.ReturnManage("上传的附件不是符合扩展名" + base.Request["Ext"] + "的文件");
    }
    else
    {
        string path = base.Server.MapPath("~/UploadFiles/Images/S" + base.Request.QueryString["SID"]); //可创建文件夹自己可控制
        if (!Directory.Exists(path))
        {
            Directory.CreateDirectory(path);
        }
        string str4 = DateTime.Now.ToString("yyyyMM");
        string str5 = DataSecurity.MakeFileRndName();
        str = str4 + str5 + str2;
        string filename = path + @"\" + str;
        this.fup_Image.PostedFile.SaveAs(filename);
        (this.Page.FindControl("span_Error") as HtmlGenericControl).Style["display"] = "block";
        string s = string.Format("<script>parent.document.getElementById('hdPath_'+ {0}).value='/UploadFiles/Images/{1}/{2}';parent.document.getElementById('img_'+ {0}).src='/UploadFiles/Images/{1}/{2}';</script>", base.Request.QueryString["QID"], "S" + base.Request.QueryString["SID"], str);
        base.Response.Write(s);
    }
}


访问

http://127.0.0.1/plugins/imageupload.aspx?SID=2.ASP&Ext=jpg


上传jpg格式木马

512.png


右键查看源代码就有文件路径了

513.png


漏洞证明:

漏洞证明如上

修复方案:

修复

版权声明:转载请注明来源 what_news@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-08-05 21:52

厂商回复:

感谢反馈,自zoomla!逐浪CMS21.4开始,iis6和混和环境既非我方官方支持范围,同时也非微软官方支持范围,亦即此环境是不会存在的。

最新状态:

暂无