铭飞Mcms存在文件上传漏洞的审计过程

admin 2023年1月2日19:45:02安全文章评论31 views886字阅读2分57秒阅读模式

微信公众号:渊龙Sec安全团队
为国之安全而奋斗,为信息安全而发声!
如有问题或建议,请在公众号后台留言
如果你觉得本文对你有帮助,欢迎在文章底部赞赏我们

漏洞概述

漏洞名称:铭飞CMS任意文件上传漏洞
漏洞编号:CVE-2022-31943/CNVD-2022-48629
CVSS 3.x 评分:9.8

铭飞Mcms存在文件上传漏洞的审计过程

注:这是团队成员橙天挖到的原创漏洞,发布的漏洞分析报告仅供大家参考学习,严禁违法进行未授权渗透!

代码分析流程

铭飞CMS官网:https://gitee.com/mingSoft/MCMS
把源码考下来之后经过审计找到上传点,form.ftl这里有个文章缩略图上传点看看他有没有做过滤然后根据action找到上传接口

铭飞Mcms存在文件上传漏洞的审计过程

经过查找在FileAction.class这里只判断了../防止目录跳跃,继续往下看点击继承的那个类

铭飞Mcms存在文件上传漏洞的审计过程

BaseFileAction.class发现他这做了后缀判断,接着看是在哪调用的过滤

铭飞Mcms存在文件上传漏洞的审计过程

复制denied进行全局搜索,application.yml发现他是在配置文件里写了过滤

铭飞Mcms存在文件上传漏洞的审计过程


过滤了.exe,.jsp,.jspx,.sh这些后缀名,说明除了这四个其他均可上传

铭飞Mcms存在文件上传漏洞的审计过程

看看他有没有可利用的接口来实现上传jsp,经过查找TemplateAction.class里有个专门解析zip的接口
那么结合上面的过滤,可以构造以下利用链:上传zip,可以通过zip包含jsp恶意文件上传,然后调用这个接口去解析zip从而解析成jsp,导致恶意jsp文件上传成功

铭飞Mcms存在文件上传漏洞的审计过程

漏洞利用操作流程

根据以上分析的代码操作,找到文章缩略图地址,点击上传zip

铭飞Mcms存在文件上传漏洞的审计过程


铭飞Mcms存在文件上传漏洞的审计过程

上传上去之后右键复制图片路径,然后通过上面分析的调用解析zip的接口fileUrl=刚刚上传的zip回车提示执行成功

铭飞Mcms存在文件上传漏洞的审计过程


铭飞Mcms存在文件上传漏洞的审计过程


铭飞Mcms存在文件上传漏洞的审计过程

之后查看上传目录的地方,发现成功解压上传的zip文件了

铭飞Mcms存在文件上传漏洞的审计过程


我们在通过路径访问aaaaa.jsp,然后利用哥斯拉去连接他发现执行成功


铭飞Mcms存在文件上传漏洞的审计过程

我是橙天,我在渊龙Sec安全团队等你
微信公众号:渊龙Sec安全团队
欢迎关注我,一起学习,一起进步~
本篇文章为团队成员原创文章,请不要擅自盗取!

铭飞Mcms存在文件上传漏洞的审计过程

原文始发于微信公众号(渊龙Sec安全团队):铭飞Mcms存在文件上传漏洞的审计过程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月2日19:45:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  铭飞Mcms存在文件上传漏洞的审计过程 http://cn-sec.com/archives/1495065.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: