HanDs
管理员

[7月漏洞公开] 顺丰某系统修复不当导致getshell 



任意文件上传

详细说明:

WooYun: 顺丰某分站从列目录到代码执行Getshell 已经公开2天了,当时我就看了下,仍然能够上传,但苦于代码没摸透,上传的文件经常被截断了,要么就是长度被限制了,所以丢在文档里2天



问题一个个抛出

1#dll后缀文件仍然允许下载,虽然关闭了目录浏览,但iis配置不当

http://218.17.224.215:8082/obj/Debug/SFWCFService.dll

QQ截图20160528194240.png





2#程序虽然修改了(pwd没有写死了),但关键的是pwd未改

[email protected]

QQ截图20160528194634.png





3#虽然savepath在web.config中进行了定义,但从SFServerService.svc上传的文件仍然躺在web目录下,完全没起到作用,倒是SFMainService.svc上传的文件跑到了定义的目录

观察2个接口的源码发现原来是程序员忘了改

QQ截图20160528200005.png



QQ截图20160528200024.png

漏洞证明:

4#上传长度的限制仍然不够

QQ截图20160528200848.png



传个原漏洞的shell-长度69

QQ截图20160528201427.png



会提示上传失败false,虽然文件有建立,但无内容

这里我也傻了几天

QQ截图20160528201525.png



因为我受困于offset这个参数,因为这个参数我原先设置为2,

这个参数的实际作用是从第几位字符开始上传(从0开始),所以每次我都被截取了前3位

最后晒一下结果

QQ截图20160528200721.png



利用个asp一句话拿下,因为够短嘛呵呵



数据库

QQ截图20160528202140.png



QQ截图20160528202228.png



运单之类的文件设置上传到了D:\TempFiles\

QQ截图20160528202340.png



QQ截图20160528202746.png



QQ截图20160528202847.png

修复方案:

按1、2、3、4点修复


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
丰崮诚
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复