LibrettoCMS PGRFileManager.php 多个文件扩展上传任意代

发布日期：2013-06-14
更新日期：2013-07-18

受影响系统：
artwebonline libretto 2.2.2
描述：
--------------------------------------------------------------------------------
LibrettoCMS是Web应用CMS。

LibrettoCMS的PGRFileManager.php脚本没有正确验证或过滤用户上传的文件，通过提交具有多个文件扩展名的.php文件（例如myfile.php.doc)，可以绕过限制文件上传的检查，远程系统然后将文件放在用户可访问的路径，攻击者可重新重命名上传的文件，删除.doc扩展，用Web服务器权限执行脚本。

<*来源：CWH Underground （）
 
  链接：
       
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

# Exploit Title  : LibrettoCMS 2.2.2 Malicious File Upload
# Date            : 14 June 2013
# Exploit Author  : CWH Underground
# Site            :
# Vendor Homepage :
# Software Link  :
# Version        : 2.2.2
# Tested on      : Window and Linux
 
  ,--^----------,--------,-----,-------^--,
  | |||||||||  `--------'    |          O .. CWH Underground Hacking Team ..
  `+---------------------------^----------|
    `\_,-------, _________________________|
      / XXXXXX /`|    /
    / XXXXXX /  `\  /
    / XXXXXX /\______(
  / XXXXXX /       
  / XXXXXX /
(________(         
  `------'
 
 
#####################################################
DESCRIPTION
#####################################################
 
LibrettoCMS is provided a file upload function to unauthenticated users. Allows for write/read/edit/delete download arbitrary file uploaded , which results attacker might arbitrary write/read/edit/delete files and folders.

LibrettoCMS use pgrfilemanager and restrict file type for upload only doc and pdf but able to rename filetype after uploaded lead attacker to rename *.doc to *.php and arbitrary execute PHP shell on webserver.
 
#####################################################
EXPLOIT POC
#####################################################
 
1. Access
2. Upload PHP Shell with *.doc format (shell.doc) to PGRFileManager
3. Rename file from shell.doc to shell.php
4. Your renamed file will disappear !!
5. For access shell,
6. Server Compromised !!
 
################################################################################################################
Greetz      : ZeQ3uL, JabAv0C, p3lo, Sh0ck, BAD $ectors, Snapter, Conan, Win7dos, Gdiupo, GnuKDE, JK, Retool2
################################################################################################################

建议：
--------------------------------------------------------------------------------
厂商补丁：

artwebonline
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：