部分万户EIP v3.0 未授权访问导致任意上传和路径泄露

基本字段

漏洞编号：: SSV-96191

披露/发现时间：: 2013-12-12

提交时间：: 2013-12-12

漏洞等级：

漏洞类别：: 其他类型

影响组件：: whir

漏洞作者：: nauscript

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2013-045717

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：万户EIP v3.0 任意上传和路径泄露 ### 详细说明：今天在对时代传媒集团渗透的过程中发现的这个问题，并通过google发现是通用型的时代传媒http://www.chinatmg.com 首先是用工具跑出了源码http://www.chinatmg.com/chinatmg.rar 艹，居然近400mb，面对渣渣的网速我想还是算了，把资源留给迅雷云播同志，管理员显然安全意识不足，不如找找有没有其他的收获然后首先发现几个目录的遍历： ``` http://www.chinatmg.com/whir_system/module/ http://www.chinatmg.com/uploadfiles/ http://www.chinatmg.com/sitecn/ http://www.chinatmg.com/sdcm2011102105481/ ``` 打开http://www.chinatmg.com/whir_system/module/security/ 目录中许多功能页面都可以越权"参观"，但会马上弹出未登陆或登陆超时无法访问的弹窗，只是通过这些也能收集许多信息，例如管理员的账号、个人信息，通过这个可以展开社工，还找到一个上传类型设置的地方：http://www.chinatmg.com/whir_system/module/config/upload.aspx 和一个图片上传的上传页面：http://www.chinatmg.com/whir_system/module/picture/radiopictureselect.aspx 为了躲开烦人的弹窗，禁止js执行，直接在IE选项中的安全调到最高级，以前良精cms的一个版本用此法就可有效越权上传。然后用IE打开这个页面，果然不跳了，果断添加上传类型，上传最大限制为0，就上传大小无限制了，然后用第二个页面直接上传大马，轻松便捷，同服的网站也不少。拿下shell后进库，管理员密码是用sha1加密的，解密直接进后台，后台还可以在客服、统计代码添加处添加恶意代码 [<img src="https://images.seebug.org/upload/201312/1212504360bfb7d9a597dcf2b35e7706386bf6d7.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1212504360bfb7d9a597dcf2b35e7706386bf6d7.jpg) [<img src="https://images.seebug.org/upload/201312/12125058cda69188bcd2b348f66e87fd8ec8c580.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12125058cda69188bcd2b348f66e87fd8ec8c580.jpg) [<img src="https://images.seebug.org/upload/201312/121251375b7617752d975b2c5f1a7b6c9cf1b148.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/121251375b7617752d975b2c5f1a7b6c9cf1b148.jpg) [<img src="https://images.seebug.org/upload/201312/12125148a2b4b406eefcd952e57e5edf89f1e944.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12125148a2b4b406eefcd952e57e5edf89f1e944.jpg) [<img src="https://images.seebug.org/upload/201312/1212520074c7c9d20dae4cbae983bc26cf45d929.jpg" alt="5.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1212520074c7c9d20dae4cbae983bc26cf45d929.jpg) 看了一下登陆页面，All Rights Reserved. Designed by Wanhu 是万户的EIP v3.0 google一下，用万户EIP的站发现不少，当然还要筛选、版本不同，当然google： whir_system/module/config/upload.aspx 来的站成功的较多简单的测试了几个网站，受此影响并成功上传shell的网站有：(shell均已删除) http://www.tengen.com/浙江天正电气股份有限公司 http://www.tengen.com/whir_system/module/picture/radiopictureselect.aspx http://www.ahyxrcb.com/ 安徽岳西农村合作银行 http://www.ahyxrcb.com/whir_system/module/picture/radiopictureselect.aspx http://www.sccip.org.cn/ 广东华南新药创制中心 http://www.sccip.org.cn/whir_system/module/picture/radiopictureselect.aspx [<img src="https://images.seebug.org/upload/201312/12124733751228d58d5c1697d64de017e8ff552b.jpg" alt="10.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12124733751228d58d5c1697d64de017e8ff552b.jpg) [<img src="https://images.seebug.org/upload/201312/12124801622bc945185768b355d9b42f19e07152.jpg" alt="0.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12124801622bc945185768b355d9b42f19e07152.jpg) [<img src="https://images.seebug.org/upload/201312/12124819b634eab8920fdf9849e8a19d0f57ffbe.jpg" alt="7.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12124819b634eab8920fdf9849e8a19d0f57ffbe.jpg) [<img src="https://images.seebug.org/upload/201312/121248329fba089b2b80bdfbdf33450d3f767432.jpg" alt="6.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/121248329fba089b2b80bdfbdf33450d3f767432.jpg) 用百度搜的时候发现这个问题黑吧等网站之前就爆出来过http://www.myhack58.com/Article/html/3/62/2012/34040.htm 他比我找到的上传页面更多，可以参考，那估计也算不上通用漏洞了吧？不过我已经写了就发吧，一个一个提交也麻烦，让万户去通知客户吧另外发现似乎是个别版本进行了升级并不适用，但是该升级后的版本另一个页面却能爆出该EIP V3.0的路径，该页面是：whir_system/Module/check/seocheck.aspx 例如： http://www.gzpp.cn/whir_system/Module/check/seocheck.aspx 广州包装印刷集团 http://www.gyseals.com/whir_system/Module/check/seocheck.aspx 广州机械科学研究院 http://www.hxczj.gov.cn/whir_system/Module/check/seocheck.aspx 安徽和县财政局 http://www.geninfobank.com/whir_system/Module/check/seocheck.aspx 决策基础信息网 [<img src="https://images.seebug.org/upload/201312/1212470064b4a0117324b392456ab330055d0c9b.jpg" alt="8.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/1212470064b4a0117324b392456ab330055d0c9b.jpg) [<img src="https://images.seebug.org/upload/201312/12124713fb1d4a75602bda55c97d7d010171a937.jpg" alt="9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201312/12124713fb1d4a75602bda55c97d7d010171a937.jpg) ### 漏洞证明：同上

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2013-045717

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

部分万户EIP v3.0 未授权访问导致任意上传和路径泄露

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

部分万户EIP v3.0 未授权访问导致任意上传和路径泄露

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定