漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-090099
漏洞标题:哈药集团上传任意文件漏洞
相关厂商:哈药集团
漏洞作者: Ourgame简单
提交时间:2015-01-06 16:19
修复时间:2015-02-20 16:20
公开时间:2015-02-20 16:20
漏洞类型:文件上传导致任意代码执行
危害等级:高
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-06: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-02-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
上传文件逻辑判断有问题。可导致服务器挂马等问题
详细说明:
内容很简单,就是一个上传。
漏洞证明:
首先上传文件地址:
http://hayao.com/home_registration.aspx
路径是这个,上传文件会判断后缀,仅仅是后缀。。。
普通的webshell传了几个 发现失败了。
后来想到了.NET 文件包含。
然后做了一个文件包含的webshell.
两个文件,第一个文件 是shell内容. 另外加了图片的文件头.
进行提交后,记录上传的图片路径,
http://hayao.com/UploadFile/201515/EJ2I8RC201515.jpg
看起来只是一个图片而已。。。
然后进行第二步,传输调用页面。
前面说了,它只验证后缀.jpg (我只是测试了.jpg, 其他没有了。。)
都说了是文件包含,因为上传文件,路径应该是相同的。
在第二步中,修改源文件.引用头.
<!--#include file="EJ2I8RC201515.jpg"-->
第二个文件命名为:
x.aspx.jpg
经过上传后,服务端把我的.jpg灭了。(哪个程序员写的这奇葩逻辑.)
然后直接就是我的shell地址了...
http://hayao.com/UploadFile/201515/IJUP3PR201515.aspx。
登陆以后,补丁补了不少,但是这个上传逻辑这样子不合适吧。
因为有员工之家,想进去look 一下。
发现密码还是加密的。
so,没有再深入了。。。
再给个安全加固建议:
服务器的MSSQL 一般分配一个低权限的用户,别动不动就给sa.
不然你的服务器分分钟就被提下来了。
可以试试D盾!上传文件执行各种挂。
修复方案:
1.先把上传的逻辑修改掉吧!
2.检测服务器 D:\hyjt\UploadFile\ 所有文件中的所有可能存在的后门,
建议使用D盾WEBshell查杀工具,可以吧以前 “黑阔们”留下的shell 全部找出来然后灭掉。
3.修改你的SQLserver 账号和密码。 创建低权限用户等。
版权声明:转载请注明来源 Ourgame简单@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝