LibrettoCMS PGRFileManager.php 多个文件扩展上传任意代码执行漏洞

发布日期：2013-06-14
更新日期：2013-07-18受影响系统：
artwebonline libretto 2.2.2
描述：
--------------------------------------------------------------------------------
LibrettoCMS是Web应用CMS。LibrettoCMS的PGRFileManager.php脚本没有正确验证或过滤用户上传的文件，通过提交具有多个文件扩展名的.php文件（例如myfile.php.doc），可以绕过限制文件上传的检查，远程系统然后将文件放在用户可访问的路径，攻击者可重新重命名上传的文件，删除.doc扩展，用Web服务器权限执行脚本。<*来源：CWH Underground （www.citecclub.org）

链接：http://www.osvdb.org/94391
http://www.exploit-db.com/exploits/26213/
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！# Exploit Title : LibrettoCMS 2.2.2 Malicious File Upload
# Date : 14 June 2013
# Exploit Author : CWH Underground
# Site : www.2600.in.th
# Vendor Homepage : http://libretto.artwebonline.com/
# Software Link : http://jaist.dl.sourceforge.net/project/librettocms/librettoCMS_v.2.2.2.zip
# Version : 2.2.2
# Tested on : Window and Linux

,--^----------,--------,-----,-------^--,
| ||||||||| `--------" | O .. CWH Underground Hacking Team ..
`+---------------------------^----------|
`\_,-------, _________________________|
/ XXXXXX /`| /
/ XXXXXX / ` /
/ XXXXXX /\______（
/ XXXXXX /
/ XXXXXX /
（________（
`------"

#####################################################
DESCRIPTION
#####################################################

LibrettoCMS is provided a file upload function to unauthenticated users. Allows for write/read/edit/delete download arbitrary file uploaded , which results attacker might arbitrary write/read/edit/delete files and folders.LibrettoCMS use pgrfilemanager and restrict file type for upload only doc and pdf but able to rename filetype after uploaded lead attacker to rename *.doc to *.php and arbitrary execute PHP shell on webserver.

#####################################################
EXPLOIT POC
#####################################################

1. Access http://target/librettoCMS/adm/ui/js/ckeditor/plugins/pgrfilemanager/PGRFileManager.php
2. Upload PHP Shell with *.doc format （shell.doc） to PGRFileManager
3. Rename file from shell.doc to shell.php
4. Your renamed file will disappear ！！
5. For access shell, http://target/librettoCMS/userfiles/shell.php
6. Server Compromised ！！

################################################################################################################
Greetz : ZeQ3uL, JabAv0C, p3lo, Sh0ck, BAD $ectors, Snapter, Conan, Win7dos, Gdiupo, GnuKDE, JK, Retool2
################################################################################################################建议：
--------------------------------------------------------------------------------
厂商补丁：artwebonline
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://jaist.dl.sourceforge.net/project/librettocms/librettoCMS_v.2.2.2.zipOracle Solaris远程安全漏洞（CVE-2013-3753）Oracle Database Server本地安全漏洞（CVE-2013-3771）相关资讯 LibrettoCMS安全漏洞 LibrettoCMS 本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任