VULHUB ™

### 简要描述： ### 详细说明： 此系统多为大型政府新闻发布站点（新闻源），如一旦被某些（博彩集团）控制，估计后果危害不是一般大。。。 http://123.131.133.150:8080/wcm/ 临沂日报报业集团 http://61.153.63.94/wcm 云和县政府所有发布站点 http://www.cflac.org.cn/wcm 中国文联 http://wcm.xxz.gov.cn:8080/wcm/ 湘西州政府站群 http://www.jscnt.gov.cn/wcm/ 江苏省文化厅 http://www.sccnt.gov.cn 四川省文化厅 http://218.94.123.203/wcm 江苏长安网 http://203.86.89.25/wcm/ 中国书籍出版社 http://www.lfcgs.gov.cn:8080/wcm/ 廊坊车管所 http://iwr.cass.cn/wcm/ 中国社会科学院 http://www.whxinzhou.gov.cn:9090/wcm/ 新洲区人民政府公众网 http://123.131.133.150:8080/wcm/ 琅琊网 http://122.224.174.82:8090/wcm/ 中国美术学院 http://www.qhepb.gov.cn 青海省环保厅 http://211.154.254.113:8080/wcm/ 佛教在线 ……等等 分析：TRS WCM中读取上传图片的：wcm/app/system/read_image.jsp ``` String sFileName = currRequestHelper.getString("FileName");//这里直接获取文件名，未进行任何判断，也未做任何过滤处理 if(sFileName == null || sFileName.trim().length()==0) throw new WCMException(ExceptionNumber.ERR_PARAM_INVALID, "传入文件名为空! "); ``` ``` try{ if(true) { FilesMan currFilesMan = FilesMan.getFilesMan(); sFileName =...

### 简要描述： ### 详细说明： 此系统多为大型政府新闻发布站点（新闻源），如一旦被某些（博彩集团）控制，估计后果危害不是一般大。。。 http://123.131.133.150:8080/wcm/ 临沂日报报业集团 http://61.153.63.94/wcm 云和县政府所有发布站点 http://www.cflac.org.cn/wcm 中国文联 http://wcm.xxz.gov.cn:8080/wcm/ 湘西州政府站群 http://www.jscnt.gov.cn/wcm/ 江苏省文化厅 http://www.sccnt.gov.cn 四川省文化厅 http://218.94.123.203/wcm 江苏长安网 http://203.86.89.25/wcm/ 中国书籍出版社 http://www.lfcgs.gov.cn:8080/wcm/ 廊坊车管所 http://iwr.cass.cn/wcm/ 中国社会科学院 http://www.whxinzhou.gov.cn:9090/wcm/ 新洲区人民政府公众网 http://123.131.133.150:8080/wcm/ 琅琊网 http://122.224.174.82:8090/wcm/ 中国美术学院 http://www.qhepb.gov.cn 青海省环保厅 http://211.154.254.113:8080/wcm/ 佛教在线 ……等等 分析：TRS WCM中读取上传图片的：wcm/app/system/read_image.jsp ``` String sFileName = currRequestHelper.getString("FileName");//这里直接获取文件名，未进行任何判断，也未做任何过滤处理 if(sFileName == null || sFileName.trim().length()==0) throw new WCMException(ExceptionNumber.ERR_PARAM_INVALID, "传入文件名为空! "); ``` ``` try{ if(true) { FilesMan currFilesMan = FilesMan.getFilesMan(); sFileName = currFilesMan.mapFilePath(sFileName, FilesMan.PATH_LOCAL) + sFileName;//未对文件名进行有效判断。只检测是否为空 }else{ java.io.File f = new java.io.File(sFileName); if(f.exists()){ sFileName = f.getAbsolutePath(); }else { ......//省略若干代码 ``` 顾可通过构造好的链接下载任意文件，例如可下载tomcat配置文件，如 tomcat/conf/tomcat-users.xml 通过跳转字符../ 或者 ..\ 可跳转到tomcat目录，或者下载源码 演示如下： [<img src="https://images.seebug.org/upload/201405/1800451436a4c7eded914d96b0d206cde1d03c31.jpg" alt="@6QHYU}U$G3D]6T_H3_T~75.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1800451436a4c7eded914d96b0d206cde1d03c31.jpg) [<img src="https://images.seebug.org/upload/201405/1800460353723d1da820ed533a2629af795fb654.jpg" alt="8V3%M6URK@GKA}`D1MO8_Q9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1800460353723d1da820ed533a2629af795fb654.jpg) 在对下载文件的过程中，应对../ 以及 ..\ 这样的字符进行充分判断。。。 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/1800451436a4c7eded914d96b0d206cde1d03c31.jpg" alt="@6QHYU}U$G3D]6T_H3_T~75.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1800451436a4c7eded914d96b0d206cde1d03c31.jpg) [<img src="https://images.seebug.org/upload/201405/1800460353723d1da820ed533a2629af795fb654.jpg" alt="8V3%M6URK@GKA}`D1MO8_Q9.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1800460353723d1da820ed533a2629af795fb654.jpg)