当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-065612

漏洞标题:svnMaia svn管理系统后台getshell

相关厂商:svnMaia

漏洞作者: papaver

提交时间:2014-06-20 15:48

修复时间:2014-09-18 15:50

公开时间:2014-09-18 15:50

漏洞类型:命令执行

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-06-20: 细节已通知厂商并且等待厂商处理中
2014-06-25: 厂商已经确认,细节仅向厂商公开
2014-06-28: 细节向第三方安全合作伙伴开放
2014-08-19: 细节向核心白帽子及相关领域专家公开
2014-08-29: 细节向普通白帽子公开
2014-09-08: 细节向实习白帽子公开
2014-09-18: 细节向公众公开

简要描述:

svnmaia svn管理系统是一个使用较多的懒人svn管理系统,系统设计上存在缺陷,导致获取root账号后后台可获取webshell,国内一些企业在用(政企类不清楚)。

详细说明:

https://code.google.com/p/svnmaia/,通杀所有版本。
第一个问题:extension/showaccess.php 访问限制缺失,导致可获取当前系统所有用户名等信息。

11.jpg


第二个问题:获取用户名了,当然可以爆破了,登陆验证码缺失,
第三个问题:后台getshell
root有权限设置svn的相关配置,config/index.php页面,却没有对写入的内容做验证限制,修改post内容即可修改config/config.php,

22.jpg


33.jpg


其实怎么弄很多方法,
这是第一个方法,下面是第二个方法:
在注册的时候,user/reg.php,77行,
exec($htpasswd.' -m -b '. $passwdfile . ' '.$username.' '.$passwd0);
而$htpasswd 是从config.php读取的,所以,只要修改config.php里面的htpasswd 值,就可以实现命令执行了。

44.jpg


漏洞证明:

见详细说明吧,

修复方案:

php获取post就不要使用数组了,

版权声明:转载请注明来源 papaver@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-06-25 14:18

厂商回复:

CNVD确认第一个风险点,对于爆破类以及认证前提未进行直接确认,根据所述情况先行确认。暂未能建立与软件开发者的联系渠道,希望开发者能认领。

最新状态:

暂无