【攻防演练】某协同办公系统多个1day分析过程

admin 2022年12月24日11:58:44HW&HVV评论25 views1443字阅读4分48秒阅读模式
目录0x01 任意文件上传1.1 代码分析1.2 漏洞利用0x02 全回显SSRFRCE2.1 漏洞分析2.2 漏洞利用2.3 类似的接口还有0x03 回显SSRF3.1 漏洞分析3.2 漏洞利用

0x01 任意文件上传

1.1 代码分析

漏洞出现在E-mobile/App/Ajax/ajax.php文件中,是后缀过滤被绕过导致的。

业务逻辑如下:

(1)$photo = $_FILES["upload_quwan"]; 将上传文件赋值给$photo

(2)$ext_temp = path_info($photo["name"]); 获取上传文件后缀

(3) 后缀合法性校验(漏洞核心位置)

【攻防演练】某协同办公系统多个1day分析过程

校验过程存在缺陷,只校验了上传文件后缀有没有在黑名单,却未考虑后缀为空的情况,比如123.php.,此时取到的后缀为空,不在黑名单。

(4) 拼接路径,完成上传。

【攻防演练】某协同办公系统多个1day分析过程

1.2 漏洞利用

action=mobile_upload_save直接上传即可

【攻防演练】某协同办公系统多个1day分析过程

【攻防演练】某协同办公系统多个1day分析过程

0x02 全回显SSRF可RCE

2.1 漏洞分析

还是这个文件,继续分析action为其他的分支,在action=dingtalkImg时,存在该漏洞,我们看下实现过程:

(1) 获取一个result参数,然后传入GrabImage函数进行远程文件抓取操作。

【攻防演练】某协同办公系统多个1day分析过程

(2) 跟进GrabImage,该函数做了几点操作:

  • 从url中获取文件名

  • 打开url读取图片流

  • 打开文件,写入图片流

全程一气呵成,没有做任何文件后缀校验。

【攻防演练】某协同办公系统多个1day分析过程

所以,该处既存在全回显SSRF,同样文件保存在服务器,可以造成RCE

2.2 漏洞利用

服务器上启一个web服务,将代码放进去:

【攻防演练】某协同办公系统多个1day分析过程

然后构造URL进行请求:

【攻防演练】某协同办公系统多个1day分析过程

【攻防演练】某协同办公系统多个1day分析过程

2.3 类似的接口还有

action=outSignImg

【攻防演练】某协同办公系统多个1day分析过程

0x03 回显SSRF

3.1 漏洞分析

/E-mobile/App/System/File/downfile.php

(1)赋值过程(11-18行)

$fileurl      = $_REQUEST["url"];
// ....
$rooturl = "http://".$_SERVER['HTTP_HOST'];
$checkurl = explode("/", $fileurl);

$checkurl中包含某些特定字符时,则拼接指定的URL:

【攻防演练】某协同办公系统多个1day分析过程

(2)拼接完整URL,不满足上述两种特定流程时。

else 
{
$url = $rooturl.$fileurl;// 将HOST和url参数值拼接
$filetype = pathinfo($fileurl); // 获取文件后缀
$type = $filetype["extension"]; // 将type设置为文件后缀
}

(3)$url传入file_get_content造成SSRF

【攻防演练】某协同办公系统多个1day分析过程

3.2 漏洞利用

【攻防演练】某协同办公系统多个1day分析过程


End



关注公众号【白帽子程序员】

回复“电子书”获取网络安全电子书资料

回复视频教程获取400网络渗透教学、编程视频教程

回复CTF视频教程获取400网络渗透教学、编程视频教程

回复python视频教程获取python学习教程

回复hw获取护网资料

回复内网靶场获取内网靶场

回复渗透镜像


学习资料截图

【攻防演练】某协同办公系统多个1day分析过程【攻防演练】某协同办公系统多个1day分析过程


往期推荐

我为什么开通公众号?IT人到中年最怕的就是你只有一门技术

个人总结网络安全学习路线(文末电子书、教学视频400G获取)

黑客是怎么入侵一个网站的?(微信交流群、资料共享)

FOFA可以访问了!我的自留地-【白帽子程序员】公众号开通了

原文始发于微信公众号(白帽子程序员):【攻防演练】某协同办公系统多个1day分析过程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月24日11:58:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【攻防演练】某协同办公系统多个1day分析过程 http://cn-sec.com/archives/1480037.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: