漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0152404
漏洞标题:陕西师范大学出版总社因一张头像引发的血案
相关厂商:陕西师范大学出版总社有限公司
漏洞作者: 修罗
提交时间:2015-11-06 18:43
修复时间:2015-12-21 18:44
公开时间:2015-12-21 18:44
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-11-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-12-21: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
本来准备继续渗下内网的,想想未获授权,还是算了。
详细说明:
1、进入陕西师范大学出版总社有限公司主站
,点击“网上商城”,进入:shop.snupg.com
2、随便注册一个账号,登录进入"个人中心",点击左侧”上传头像“
3、打开FireBug可以看到客户端用js做了扩展名限制:
4、下断点,刷新页面,把这处代码改成:
file_types : "*.*",
5、上传一个jsp 大马,成功绕过限制上传,由于网站有头像预览功能,上传后可在页面上找到上传文件的路径。
漏洞证明:
哇,ROOT,太客气了。
这是网站所在目录
查看网站配置,找到网站数据库和BBS数据库的配置信息:
论坛配置:
<db_driver>com.mysql.jdbc.Driver</db_driver>
<db_url>jdbc:mysql://192.168.1.71:3307/discuz?useUnicode=true&characterEncoding=utf-8</db_url>
<db_username>luntan</db_username>
<db_password>luntan</db_password>
本站mysql数据库配置:
通过大马连接数据库成功:
修复方案:
1、上传文件处加上服务端文件类型验证;
2、删除我上传的jsp大马,位置在:
/home/founder/platform/common/header_top20131115.jsp
版权声明:转载请注明来源 修罗@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝