九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

admin

139574
文章

114
评论

2023年12月4日23:51:10评论65 views字数 2151阅读7分10秒阅读模式

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

写在前边

I Doc View在线文档预览是一款在线文档预览系统，可以实现文档的预览及文档协作编辑功能。其存在代码执行漏洞，使得攻击者可以通过利用这个接口，触发服务器下载并解析恶意文件，从而导致远程命令执行漏洞。进而控制服务器上的进程和文件。

漏洞分析

漏洞位置在

com.idocv.docview.controller.HtmlController#toWord

*左右滑动查看更多

首先根据输入的URL地址，计算出其MD5值，然后创建相应的目录和文件。

目录命名是data/urlhtml/计算出的md5，创建的结构是：

- data    - urlhtml      - <md5(URL地址)>        - index.html      - <md5(URL地址)>.docx

如果经过MD5计算后的目标HTML文件不存在，则通过GrabWebPageUtil工具类的downloadHtml()方法。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

跟进downloadHtml方法。

从指定的URL地址下载HTML页面，并将其保存到文件中，如果该HTML文件包含其他链接，则递归下载这些链接对应的文件。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

看下getWebPage里的实现。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

首先从URL中获取文件名。通过调用obj.getPath()方法获取URL的路径，截取最后一个/后的字符串作为文件名。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

如果从URL中获取到的文件名为空，则将文件名设为default.html。

接下来判断传入的文件名是否为空或空白字符串。如果传入的文件名不为空则将其设为实际文件名。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

最后，根据输出目录和文件名创建新文件。

九维团队-绿队（改进）| I Doc View /html/2word 文件上传漏洞分析和缓解

这里虽然有个黑名单，但是没有jsp，不影响。

if (!filename.endsWith("html") && !filename.endsWith("htm") && !filename.endsWith("asp") && !filename.endsWith("aspx") && !filename.endsWith("php") && !filename.endsWith("php") && !filename.endsWith("net")) {                try {                    fop = new FileOutputStream(outputFile);                    is = conn.getInputStream();                    byte[] buffer = new byte[16384];
                    int length;                    while((length = is.read(buffer)) > 0) {                        fop.write(buffer, 0, length);                    }
                    fop.flush();                } catch (IOException var29) {                    var29.printStackTrace();                }
                return;            }