金蝶政务GSiS服务平台通用任意文件上传漏洞

2014-10-27T00:00:00
ID SSV:93809
Type seebug
Reporter Root
Modified 2014-10-27T00:00:00

Description

简要描述:

参照下前人的描述:GSiS政务服务平台:首个完全根据国家政策要求全新开发的,支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 存在任意文件上传漏洞,可获取webshell PS:两$$符啥感觉,给一个爽爽吧~~

详细说明:

程序名称:Kingdee GSIS 开发公司:金蝶 漏洞类型:任意文件上传 漏洞文件:/corehttps://images.seebug.org/upload/upload.jsp 关键词:inurl:/kdgs/ 收集几个案例,方便测试

//判断上传格式 String fileDesc; String fileExt; String uploadFileNumber; if(allowedTypes.equals("image" )|| allowedTypes=="image"){ fileDesc="jpg/gif/jpeg/png/bmp"; fileExt="*.jpg;*.gif;*.jpeg;*.png;*.bmp"; uploadFileNumber="1"; }else{ fileDesc="*"; fileExt="*.*";/////这里是问题所在 uploadFileNumber="10"; }

漏洞利用: ①首先注册一个普通用户,登录及注册地址:/kdgs/biz/portal/login/login.action ②访问/kdgs/corehttps://images.seebug.org/upload/upload.jsp ,选择jsp文件,上传抓包,把path的值改为ITEM_PATH提交,即可获得webshell,简单粗暴 实例演示:

NO.1

首先访问http://**.gov.cn:8080/kdgs/biz/portal/login/login.action 点击注册一个用户,这里我注册的testbye/testtest,登录进去

<img src="https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

直接访问:http://*.gov.cn:8080/kdgs/corehttps://images.seebug.org/upload/upload.jsp

<img src="https://images.seebug.org/upload/201410/2719014712fff0a7a96d8aa77eea45e6e3711e93.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

选择jsp马上传抓包,改path:ITEM_PATH

<img src="https://images.seebug.org/upload/201410/27190444b239c5b008e3d35ac5e76145a0ee78ba.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

在返回值里看shell路径

<img src="https://images.seebug.org/upload/201410/2719055584aceab9329e8cb0930e1eb8474770f3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

shell路径为:/uploads/item/11e4-5dc8-b4173752-b77d-1335b63918b7.jsp,后面的Jf**.jsp去掉

<img src="https://images.seebug.org/upload/201410/27190715ec5e8e824449e44d5accf85e0cd7bed6.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

NO.2

步骤和上面一样,注册个用户,登录访问core\upload/upload.jsp 上传抓包改包:

<img src="https://images.seebug.org/upload/201410/271911040e3ef6d96e3d811cb8d02319426d71d7.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

返回的shell地址:

<img src="https://images.seebug.org/upload/201410/27191204dd0c0b0afc49e4a4234a9fc12142aab2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

shell:

<img src="https://images.seebug.org/upload/201410/271912441092076be63ddba9c33262d123072a6c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">

政府站点,演示证明下就行了,shell已删.. 就不去弄5个站演示了

漏洞证明:

如上