漏洞复现主要分以下三个部分:
1.1 未授权访问
参考unicodeSec大佬的分析,通过请求eyon/thirdpartyController.do.css/…;/ajax.do判断是否存在漏洞,若出现下图异常,则可能存在漏洞。
通过抓取数据包,可以看到如下的数据请求和返回结构:
返回的状态值为200,且返回的数据包含"java.lang.NullPointerException:null"字符串。
1.2 任意文件上传
调用未授权的文件上传接口上传任意文件,以上传test.txt,上传到/seeyon目录下,内容为test123,数据包如下所示:
返回的状态值为500,文件上传成功会返回。
{
"message":null,
"code":"0844135702",
"details":null
}
其中code的值不固定。
文件上传失败会返回。
{
"message": "被迫下线,原因:与服务器失去连接",
"code": "-1",
"details": null
}
1.3 请求上传的文件
通过请求上传的文件,查看文件是否上传成功,如下所示:
0x002 Goby EXP编写
2.1 漏洞信息填写
致远OA的查询规则是:app=Yonyou-Seeyon-OA(可以常规扫目标后查看该目标的资产类型以确定查询规则)
填写漏洞信息,如下所示:
而后在高级配置中,填写标签、描述、产品、产品主页、作者、来源、漏洞危害和解决方案等信息。
2.2 ScanSteps填写
2.2.1 未授权访问判断
根据漏洞复现部分,GET请求/seeyon/thirdpartyController.do.css/…;/ajax.do,根据返回数据的状态码200和返回内容中包含"java.lang.NullPointerException:null"字符串判断目标是否存在漏洞,填写对应的规则,如下所示:
此处在header的中需要填写Accep字段。
2.2.2 文件上传二次判断
和Goby团队的技术表哥交流后,仅通过上面的未授权访问判断,可能会存在很多的误报,因此需要借助文件上传进一步判断。
POST数据进行任意文件上传,需要带上Content-Type: application/x-www-form-urlencoded,根据返回内容是否包含message、code和details,并且排除返回内容包含-1(上传失败,返回值的code为-1)判断是否上传成功。
Post数据可参考互联网上已有的资源。
tips小技巧: 填写完测试数据后,在自定义PoC的右上角有个"单ip扫描"选项,输入ip:port,进行单ip扫描,查看定义的测试选项逻辑是否正确。
2.3 ExploitSteps填写
从生成的seeyou_OA_ajaxAction_formulaManager_File_Upload.json文件的ScanSteps中提取Post部分的数据,加入到ExploitSteps中,如下:
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
nter)
因篇幅有限,仅展示部分资料
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-yS9sFajw-1712906165442)]
922
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
