当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0127350

漏洞标题: 某省工商行政管理局门户网站可上传恶意文件、获取主机权限

相关厂商:cncert国家互联网应急中心

漏洞作者: woops002

提交时间:2015-07-20 08:23

修复时间:2015-09-07 10:16

公开时间:2015-09-07 10:16

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-07-20: 细节已通知厂商并且等待厂商处理中
2015-07-24: 厂商已经确认,细节仅向厂商公开
2015-08-03: 细节向核心白帽子及相关领域专家公开
2015-08-13: 细节向普通白帽子公开
2015-08-23: 细节向实习白帽子公开
2015-09-07: 细节向公众公开

简要描述:

山东省工商行政管理局门户网站将上传api直接写在首页源码中,通过篡改api中相关字段值便可利用该上传接口将jspx文件上传至服务端。(注:网站过滤了jsp但未过滤jspx)
由于该建站系统是出自中科汇联这一开发商,因此所有基于该建站系统开发的网站都存在该问题。通过谷歌语法大致检索了下,发现以下网站可能存在该问题(对于不能上传或上传后不能执行的站点,我想应该是由于有安全设备的原因吧)。
www.sdcourt.gov.cn 山东省高级人民法院
http://dzzy.sdcourt.gov.cn/ 德州市终级人民法院
www.yuxi.gov.cn 玉溪市人民政府网
www.hebei.gov.cn 河北省人民政府网
www.fjciq.gov.cn 福建出入境检验检疫局
http://www.cebbank.com/ 中国光大银行
www.mapuni.com 中科宇图网站
www.cndca.org.cn 中国民主建国会
www.bjny.gov.cn 北京农业局
www.inspur.com 浪潮
www.bjepb.gov.cn 北京市环境保护局
www.qbj.gov.cn 成都,青白江
www.jxnxs.com 江西省农村信用社
http://hl.lsz.gov.cn/ 中国会理
http://xxgk.hengshui.gov.cn/ 衡水市政府信息公开专栏
www.lsz.gov.cn 凉山州人民政府
http://www.hz-redshield.com.cn/ 菏泽市工商行政管理局
www.lwaic.gov.cn 莱芜市工商行政管理局
http://www.12365.sd.cn/ 山东省质量技术监督局
http://xxgk.hengshui.gov.cn/ 衡水信息公开
http://www.tongrentang.com/ 同仁堂
http://hd.lsz.gov.cn/ 中国·会东
http://cjj.szlhxq.gov.cn/ 深圳市龙华新区城市建设局
www.bjszxy.cn 北京市顺义区牛栏山第一中学
http://www.huilan.com/ 中科汇联

详细说明:

截图1、首页源码中发现上传api

11.jpg


截图2、直接访问该上传api,提示会话失效。

22.jpg


截图3、发现该上传api中包含一些参数,尝试将"moduleId=2"改成"moduleId=1"再访问发现可正常访问(说明系统是通过接收用户端所传输过来的moduleid值来判断当前访问是否合法的-设计缺陷啊)

33.jpg

漏洞证明:

截图1、本地写个上传html,将工商局的上传api填入其中。向服务端上传jspx菜刀马

44.jpg


截图2、菜刀连接成功

55.jpg


截图3、服务器竟然还支持跨盘符,从c盘users目录下的内容可确定当前用户是administrato权限

66.jpg


截图4、成功添加系统管理员admin账户。

77.jpg


88.jpg


99.jpg


截图5、由于是内网的机器且是政府的网站,就不做端口反弹了。感觉体现问题危害性的效果已经达到了,希望尽快修复问题啊。

10.png

修复方案:

1、过滤jspx文件
2、禁用该上传目录的执行权限

版权声明:转载请注明来源 woops002@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-07-24 10:14

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT下发给山东分中心,由其后续协调网站管理单位处置。

最新状态:

暂无