记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

大汉版通JCMS某处越权+任意文件文件上传漏洞(反删除)

2014-09-08 04:30

漏洞点:

jcms/m_5_7/replace/opr_importinfo.jsp

部分系统还存在越权。fn_billstatus为1时可以直接访问该页面无需验证:

http://www.shanting.gov.cn/jcms/m_5_7/replace/opr_importinfo.jsp?fn_billstatus=1

image010.png



http://tuoshan.yzwh.gov.cn/jcms/m_5_7/replace/opr_importinfo.jsp?fn_billstatus=1

image012.png



漏洞证明:

扯下代码

// 基本变量初始化

String strFilePath = "";

String strFileName = "";

strFilePath = application.getRealPath("") + "/m_5_7/replace/temp/";



路径就是这了,不多说,下面看关键的(省略了一部分):



CommonUploadFile upload = new CommonUploadFile(strFilePath, "");

boolean bResult = upload.uploadFile(request);



String strUpFileName = "";

if (bResult) {



try {……………………省略



} catch (Exception e) {

strIllMsg += "<" + strFiles[i] + ">";

}

file.delete();

}//end for

}



else {

strMsg = "上传文件失败!";

}



我们看到,如果if的条件成立,则最后的操作会删除文件。而if的条件不成立时,则只会提示上传文件失败,嗯,我们可以测试看,何时bResult=false



啊好吧,直接说结果吧,

文件上传时,对于上传的文件会有一个顺序的排列,从file1,file2...一直下去。很奇怪,如果跳过了file1,从file2开始,则此处的bResult=false了。利用这一特点,我们可以反删除,保留我们的文件在temp目录下!

上传时改下后缀:

image014.png



image016.png

修复方案:

升级

知识来源: www.wooyun.org/bugs/wooyun-2014-064240

阅读:118850 | 评论:0 | 标签:cms 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“大汉版通JCMS某处越权+任意文件文件上传漏洞(反删除)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云