某软件监控页面RCE漏洞分析

admin 2022年11月7日21:18:26安全文章评论11 views822字阅读2分44秒阅读模式

文章转载自:https://xz.aliyun.com/t/11778

作者:KimJun

前言

今年某行动中,某OA连续发了好几个高危漏洞补丁,搜索了一下,目前网络上还没有分析文章,正好最近有时间做一下漏洞分析和学习

漏洞说明

后台监控页面对传入参数为进行处理,导致命令执行

修复原理

补丁代码直接删除了后面一大段代码,我们分析一下这一段代码危害

某软件监控页面RCE漏洞分析

首先登陆系统后访问下面链接,进入monitor页面,访问后台监控页面的jsp
http://x.x.x.x/ctp/sysmgr/monitor/status.do

某软件监控页面RCE漏洞分析

点击访问Cache Dump页面

某软件监控页面RCE漏洞分析

这里访问会加载index.jsp,同时会在session设置GoodLuckA8,后续才能访问到漏洞页面

某软件监控页面RCE漏洞分析

cacheDump.jsp 这里判断是否session存在GoodLuckA8了

某软件监控页面RCE漏洞分析

抓这个页面的包,继续操作

某软件监控页面RCE漏洞分析

cacheDump.jsp 这里传入b、m、p三个参数

某软件监控页面RCE漏洞分析

这里符合条件会调用eval方法

某软件监控页面RCE漏洞分析

跟进到eval方法,拼接beanName、func、param这个三个参数

某软件监控页面RCE漏洞分析

进行ScriptEvaluator.eval 方法,可以看到这里用到groovy,继续跟进77行

某软件监控页面RCE漏洞分析

最后这块编译文件,执行groovy代码

某软件监控页面RCE漏洞分析

漏洞复现

p参数这里设置成下面的groovy代码,然后进行url编码,即可导致RCE

1); println "cmd /c calc".execute().text //

漏洞分析完,poc其实挺容易构造,完整的漏洞数据包有点敏感,暂时不公布了

效果:

某软件监控页面RCE漏洞分析

免责申明

本文中提到的漏洞分析过程仅供研究学习使用,请遵守《网络安全法》等相关法律法规


原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:[email protected]

文章类型:黑客极客技术、信息安全热点安全研究分析安全相关

通过审核并发布能收获200-800元不等的稿酬。


更多详情,点我查看!

某软件监控页面RCE漏洞分析
免费靶场实操,戳“阅读原文“

原文始发于微信公众号(合天网安实验室):某软件监控页面RCE漏洞分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月7日21:18:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  某软件监控页面RCE漏洞分析 http://cn-sec.com/archives/1396232.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: