漏洞信息

漏洞ID: 1137384漏洞类型: 路径遍历漏洞
发布时间: 2017-06-28更新时间: 2020-06-12
CVE编号: CVE-2017-9846CNNVD-ID: CNNVD-201706-1054
漏洞平台: N/ACVSS评分: 6.5

漏洞详情

网络磁盘页面上传文件目录和参数可控,且服务端没有对输入的内容进行安全检查,造成可以通过../进行目录跳转,将文件上传到web目录,从而获取webshell.

攻击成本:低
危害程度:高
是否登陆:需要
影响范围:Version <= 6.1.0

漏洞重现

使用Winmail 6.1版本进行演示
安装文件下载
链接:https://resource.0x50j.com/winmail_6_1_0/winmail_6.1.0720.zip

使用Windows系统
1、修改系统时间到2016年八月份之前,必要时可以断网
2、运行安装文件安装系统
3、修改防火墙入栈规则添加6080端口,或者暴力一点关闭防火墙

运行安装结果

*叮咚: 如果没有修改时间就安装的话服务可能会起不来,所以建议修改一哈~

访问 http://45.32.28.9:6080/ 登录系统 账号
建立一个新的 mingo@0x50j.com 邮箱

登录界面

漏洞利用

文件上传命令执行漏洞

普通用户登录系统后上传文件保存到网盘,并抓取数据包

文件上传界面

上传phpinfo.php文件 默认系统会将文件保存在 安装目录 /server/netstore/mingo/ 目录下面 其中mingo文件用户名,但是数据包中ftpfolder=Lw%3D%3D 代表目录,采用base64加密,默认是/,可以修改ftpfolder值为Ly4uLy4uL3dlYm1haWwvd3d3Lw== 代表 /../../webmail/www/直接将文件上传到web目录

文件上传数据包

修改后的数据包

访问http://45.32.28.9:6080/phpinfo.php 即可获取webshell

phpinfo信息页

任意文件下载漏洞

上传文件后点击下载文件

文件下载数据包

其中目录和文件名可控
修改filename参数跳转到data/adminuser.cfg,即base64加密ftpfolder=Ly4uLy4uL2RhdGEv&filename=YWRtaW51c2VyLmNmZw==,可下载管理员用户密码,密码md5加密!

修改后的数据包

获得管理员的用户名和密码解密之后,访问http://45.32.28.9:6080/admin/main.php登录

管理系统界面

目录遍历

打开网络磁盘并创建一个文件夹并进入,点击返回/目录并抓取数据包,其中ftpfolder代表目录位置 该字段可控增加/../../可向上跳目录
修改为/../../即base64加密Ly4uLy4uLw==

数据包

目录遍历结果

修复方案

虽然该漏洞需要普通用户权限登录后才能触发,总体来说漏洞危害有限,但还是建议尽快升级到最新版本.

Last modification:July 17th, 2020 at 10:54 am