金山终端安全系统 V8/V9存在文件上传漏洞

字数统计: 432字   |   阅读时长≈ 1分

金山终端安全系统 V8/V9存在文件上传漏洞

金山终端安全系统 V8/V9存在文件上传漏洞

程序下载链接:

V8:[v8下载](http://duba-011.duba.net/netversion/Package/KAVNETV8Plus.iso "v8下载")

V9:[v9下载](http://duba-011.duba.net/netversion/Package/SecManage.iso "v9下载")

系统环境:

Win2008 R2

内存:>=4G

image
image

image
改系统采用B/S架构,管理员可通过web应用对程序进行实时管控。

V9和V8文件结构大致相同,Web根目录为程序结构下的Console目录。
image

漏洞点:/tools/manage/upload.php

在tools目录下的mange下存在一个upload.php。
该文件可导致任意文件上传

漏洞分析:
image
在文件第八行中定义了一个变量为:$uploaddir.设置上传文件的默认存储路径为根目录下的/UploadDir/。

image
第11行至22行。

如果根目录下存在server.conf。则重写$uploaddir的值。

默认配置是不存在的。

image

24-35行中。进行了文件上传操作。

最终文件的存储路径为$uploaddir+上传文件名

在第27行中,使用preg_math进行一次正则匹配。要求上传的文件名必须已/A-z/*32位字符的格式。

也就是说上传的文件名必须是32位的长度。

这里随便给一个32位的md5就行。

满足条件后进入else。使用mkdir创建文件夹,并给予权限0777.

后调用move_uploaded_file导致任意文件上传:

POC如图

image

image


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。