I DOC VIEW是一个在线的文档查看器,其中的/html/2word接口因为处理不当,导致可以远程读取任意文件,通过这个接口导致服务器下载恶意的JSP进行解析,从而RCE。
漏洞影响版本
20231115之前版本
源码分析
先定位到问题接口: 
接口里面就一个方法toWord,那么就来看看它做了什么: 
前面的内容不是特别紧要,这里有一个去爬取页面的方法,也是唯一使用了url参数的地方: 
这里使用了getPage方法来处理obj,而obj又是url来的URL对象,但是疑惑的时文件名只能是index.html所以去看一下这个getWebPage方法: 
其实到上面这里还好,都是一些写文件的操作,并且写的也是index.html但是下面做的操作就是本此漏洞的关键了,软件本意应该是想做一个比较完善的爬虫,所以接下会调用GrabUtility.searchForNewFilesToGrab方法继续解析文件内容,这里的conn也就是刚才创建的链接: 
进入到GrabUtility.searchForNewFilesToGrab查看,发现其中的内容就是解析响应值,其中获取link[href]、script[src]、img[src]标签对应的内容然后存进GrabUtility的成员变量filesToGrab中: 
然后就到了触发漏洞的操作了,这里读取了filesToGrab的size然后开始尝试挨个链接下载了,这里调用了GetWebPage重载方法,目录还是原来的目录,文件名时自动解析的文件名: 
这就好办了,因为程序中只对后缀做了过滤,所以只要我们不是它黑名单的后缀然后再配合目录穿越就行了,然后黑名单是html、htm、php、asp、aspx和net,但是没有jsp,所以只需要写个jsp的🐎就可以了。这里需要注意的是,因为截取/后的内容作为文件名,所以不能使用/进行目录穿越,但是系统是windows上的,所以就可以使用来代替。那么利用流程就是:首先启动恶意服务器,将服务器的index.html中放入一个href、img或者script定向到jsp马就行了!(这也印证了通告中的诱导下载危险文件)
复现
构造页面: 
python启动简易http,访问!然后被杀(谢谢你火绒: 
关了火绒(因为服务貌似会有缓存,所以需要换个端口): 
测试: 
当然最后不要忘记打开火绒哦。
结语
文件操作是十分敏感的操作,尤其是向服务器中下载文件,同时下载的文件最好也有固定的目录存放并防止目录穿越,开发者已经想到了下载文件的风险,但是却没有将对策做好,导致了本次漏洞。
彩蛋
天知道我试了多少次…… 
原文始发于微信公众号(黑伞安全):代码审计: I DOC VIEW 前台RCE 分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论