漏洞打假
起因是在浏览CSDN的时候,看到了一篇关于金和OA C6平台的漏洞文章,写着"任意文件上传"
根据文章描述可以看出金和oa自带KindEditor组件,可以造成未授权文件上传,但是文章中并未体现出任意文件上传,只上传了txt文件进行验证
为啥不试下aspx、ashx呢?因为这个漏洞并不像文章标题说的,最多算个存储型XSS
咱们来看下upload_json.asp文件
很明显对文件扩展名进行了限制,但是没有限制html、htm后缀,因此可以构造任意XSS页面
还有个问题是asp后缀在新版金和oa是无法正常解析的
需要访问asp.net版本的KindEditor,如下:
/C6/KindEditor1/asp.net/upload_json.ashx?dir=file请求上传html页面
访问返回包中链接,确认造成储存型XSS
题外话
此外,金和oa还自带了Ueditor的组件,不过可惜的是对文件后缀名做了严格限制
上传路径如下:
/C6/Ueditor-u/net/fileUp.ashx不允许上传aspx、asp、xml、html后缀的文件
//上传配置String pathbase = "upload/"; //保存路径string[] filetype = { ".rar", ".doc", ".docx", ".zip", ".pdf", ".txt", ".swf", ".wmv" }; //文件允许格式int size = 100; //文件大小限制,单位MB,同时在web.config里配置环境默认为100MB
根据后缀限制,只能上传一个可以弹窗的PDF文件自娱自乐了,没什么危害性
原文始发于微信公众号(HackingWiki漏洞感知):漏洞打假之金和OA upload_json.asp存在任意文件上传漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论