某通用CRM系统任意文件上传

2014-05-17T00:00:00
ID SSV:93256
Type seebug
Reporter Root
Modified 2014-05-17T00:00:00

Description

简要描述:

某通用CRM系统任意文件上传

详细说明:

用友旗下的畅捷通CRM http://www.chanjet.com/bencandy.php?fid=41&id=185 如图

<img src="https://images.seebug.org/upload/201405/16225046b231295388a9770e56fa11443bcc621d.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">

存在任意文件上传,我们到官方demo站,crm.chanjet.com,发现弱口令 test 111111,成功登入

<img src="https://images.seebug.org/upload/201405/1622525665c5cf8e820c5a6e6b47a1d0635554b2.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">

选择产品,看到附件

<img src="https://images.seebug.org/upload/201405/16225436d3bed66c25b794945a4cbad3eecb1fc8.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">

我们来新建一个附件,直接上传1.php,上传成功,我们来访问下,

<img src="https://images.seebug.org/upload/201405/162258327f6238244035712b5d5f0c5567ef4f3a.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201405/1622584653a22ca4317b43373b8b48563529037b.jpg" alt="112.jpg" width="600" onerror="javascript:errimg(this);">

上传后缀成了php.bak,由于官方使用apache搭建的,存在解析漏洞,所以这个是可以getshell的,并且官方说明书里面也是用apache的。但是万一客户不是使用apache或者将解析漏洞补上怎么办,我们来bypass。我们上传1.2.php,这样就可以绕过php后面加上bak了。

<img src="https://images.seebug.org/upload/201405/16230225a2848e67f841efd8013ca06d0ffbf728.jpg" alt="113.jpg" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg" alt="114.jpg" width="600" onerror="javascript:errimg(this);">

漏洞证明:

直接上传php的shell:

http://crm.chanjet.com/datacache/org50579/393.php.bak

<img src="https://images.seebug.org/upload/201405/16230423a3d0bb7b18a049ae15d1213dd2503c90.jpg" alt="115.jpg" width="600" onerror="javascript:errimg(this);">

饶过的shell

<img src="https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg" alt="114.jpg" width="600" onerror="javascript:errimg(this);">