红队实录系列(一)-从 NodeJS 代码审计到内网突破

最新推荐文章于 2024-05-10 17:11:57 发布
VIP文章 最新推荐文章于 2024-05-10 17:11:57 发布
阅读量858 收藏 1
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomato_bro/article/details/125786614
版权

概述

此实录起因是公司的一场红蓝对抗实战演习,首先通过内部自研资产平台通过分布式扫描对目标资产进行全端口指纹识别。在目标的一个IP资产开放了一个高端口Web服务,进一步通过指纹识别的方式发现是 OnlyOffice 服务。第一次遇到 OnlyOffice 服务(Express框架),后续整个渗透流程就是通过老洞到分析代码找到新利用方式,最终通过任意文件写新利用方式实现了RCE,突破进入内网。

老洞新用

资产收集找到了如图所示的资产,即使从来没碰到过,根据页面也能发现使用的是OnlyOffice。

扫描发现存在/index.html路由,直接拿到了目标的版本号,在dockerhub上找到了一样的版本onlyoffice/documentserver:5.4.2.46,5.4.2已经是3年前的版本了,很可能会存在一些老洞。 

 

搜索发现了存在多个老洞,https://github.com/moehw/poc_exploits,CVE-2021-3199是一个任意文件写漏洞,影响小于5.6.3的版本,并且还有POC https://github.com/moehw/poc_exploits/blob/master/CVE-2021-3199/poc_uploadImageFile.py

使用该POC验证我们的目标时,文件上传都无法成功。分析发现CVE-2021-3199 是利用的uploadImageFile方法,存在一定的限制。

var format = formatChecker.getImageFormat(buffer, undefined);
var formatStr = formatChecker.getStringFromFormat(format);

if (encrypted && PATTERN_ENCRYPTED === buffer.toString('utf8', 0, PATTERN_ENCRYPTED.length)) {
  formatStr = buffer.toString('utf8', PATTERN_ENCRYPTED.length, buffer.indexOf(';', PATTERN_ENCRYPTED.length));
}

uploadImageFile方法中,formatStr变量来自于根据文件内容进行识别。如果encrypted为true,那么就会从post body中解析出formatStr,从而实现控制文件名。

if (cfgTokenEnableBrowser) {
  let checkJwtRes = docsCoServer.checkJwtHeader(docId, req, 'Authorization', 'Bearer ', commonDefines.c_oAscSecretType.Session);
  if (!checkJwtRes) {
    //todo remove compatibility with previous versions
    checkJwtRes = docsCoServer.checkJwt(docId, req.query['token'], commonDefines.c_oAscSecretType.Session);
  }
  let transformedRes = checkJwtUploadTransformRes(docId, 'uploadImageFile', checkJwtRes);
  if (!transformedRes.err) {
    docId = transformedRes.docId || docId;
    encrypted = transformedRes.encrypted;
  } else {
    isValidJwt = false;
  }
}

而encrypted需要配置了cfgTokenEnableBrowser,"Directory traversal with Remote Code Execution when JWT is used in Document Server before 5.6.3",需要配置了JWT时才能利用,Docker环境默认未启用,目标也未启用。

其他的老洞没POC,只能下一份5.4.2.46版本的代码,分析是否存在其他的利用了。

DocService/sources/server.js 存在一个savefile路由,看到这名字就能猜到是文件上传相关的路由。

app.post('/savefile/:docid', rawFileParser, canvasService.saveFile);

路由方法具体实现如下:

exports.saveFile = function(req, res) {
  return co(function*() {
    let docId = 'null';
    try {
      let startDate = null;
      if (clientStatsD) {
        startDate = new Date();
      }

      let strCmd = req.query['cmd'];
      let cmd = new commonDefines.InputCommand(JSON.parse(strCmd));
      docId = cmd.getDocId();
      logger.debug('Start saveFile: docId = %s', docId);

      if (cfgTokenEnableBrowser) {
        let isValidJwt = false;
        let checkJwtRes = docsCoServer.checkJwt(docId, cmd.getTokenSession(), commonDefines.c_oAscSecretType.Session);
        if (checkJwtRes.decoded) {
          let doc = checkJwtRes.decoded.document;
          var edit = checkJwtRes.decoded.editorConfig;
          if (doc.ds_encrypted && !edit.ds_view && !edit.ds_isCloseCoAuthoring) {
            isValidJwt = true;
            docId = doc.key;
            cmd.setDocId(doc.key);
          } else {
            logger.warn('Error saveFile jwt: docId = %s\r\n%s', docId, 'access deny');
          }
        } else {
          logger.warn('Error saveFile jwt: docId = %s\r\n%s', docId, checkJwtRes.description);
        }
        if (!isValidJwt) {
          res.sendStatus(403);
          return;
        }
      }
      cmd.setStatusInfo(constants.NO_ERROR);
      yield* addRandomKeyTaskCmd(cmd);
      cmd.setOutputPath(constants.OUTPUT_NAME + pathModule.extname(cmd.getOutputPath()));
      yield storage.putObject(cmd.getSaveKey() &
最低0.47元/天 解锁文章
tomato_bro
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Goby-win-x64-2.4.7版本
07-27
Goby专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
docker 安装各种基础环境二
ipsecvpn的专栏
06-08 1059
docker 安装RocketMQ
一次小破站JS代码审计出XSS漏洞思路学习
ElsonHY的博客
03-22 1478
一种挖掘xss的思路
代码审计 JavaScript代码理解.
网络安全领域___专研者.
04-20 3255
JavaScript 概括: JavaScript(简称 "JS")是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为 开发Web页面的脚本语言而出名,但是它也被用到了很多非浏览器环境中,JavaScript基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式.
JavaScript审计
richard1230的博客
03-22 8840
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如检索信息)时。有时开发人员可以混淆他们的 javascript 代码,使人无法正常阅读,但是大多数类型的混淆是可以反混淆的;如果你是一个漏洞赏金猎人,你应该花一些时间从中寻找宝藏。如果运气好,可能会发现严重程度较高的漏洞。怎么找js 第一种方法为手动找: 右键单击所在的页面并单击“查看源代码”(,然后开始在 H
3. 编程规范和编程安全指南--java
踟蹰横渡口,彳亍上滩舟。
03-27 7249
目录 1 安卓类 I. 代码实现 1.1 异常捕获处理 1.2 数据泄露 1.3 webview 组件安全 1.4 传输安全 II. 配置&环境 2.1 AndroidManifest.xml 配置 2 后台类 I. 代码实现 1.1 数据持久化 1.2 文件操作 1.3 文件操作 1.4 XML读写 1.5 响应输出 1.6 OS命令执行 1.7 会话管理 1.8 加解密 1.9 查询业务 1.10 操作业务 安卓类 I. 代码实现 1.1 异常捕获...
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程)
Welcome To Myon'Blog !
03-11 472
xff_referer、simple_js(javascript代码审计+超详细脚本编写过程) X-Forwarded-For(XFF),http referer,BurpSuite抓包 , HTML代码简化结构,javascript,Python脚本编写,split函数,ASCII码
NodeJS代码审计中常见的漏洞(四)
武天旭的博客
03-02 707
经过漫长时间的迭代更新,内容从一开始的碎片化罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 敏感信息存储
030-安全开发-JS应用&NodeJS指南&原型链污染&Express框架&功能实现&审计
wushangyu32335的博客
02-02 1563
小迪安全2023笔记
goby&社区版-win-64-2.4.7
11-27
包含goby版和社区版
渗透打点工具-FindUpload
03-07
FindUpload是一款打点工具,帮助渗透测试人员批量url快速发现文件上传点和登录框,提高渗透测试效率和减少手工发现时间。
goby-x64-2.4.8(win和linux)
05-16
版 Goby 增加了一系列如 Celerystalk、BloodHound、ScoutSuite 等常见精选插件的支持,以覆盖尽可能多的攻击面,并能够更好的发挥其较高的效率和低误差率的优势。此外,由于 Goby 的设计理念是轻量化的可视化...
版Goby-poc438个自定义goby-poc
08-10
包含438个自定义goby-poc,可能会有重复自行判断,来源于络收集的Goby&POC,实时更新。 如果无版,可直接poc管理处导入自定义poc即可,共计736个。
Node.js代码漏洞扫描工具介绍——npm audit
killer1989的博客
10-08 1440
npm audit运行安全检查主要作用:检查命令将项目中配置的依赖项的描述提交到默认注册中心,并要求报告已知漏洞。如果发现任何漏洞,则将计算影响和适当的补救措施。如果 fix 提供了参数,则将对包树应用补救措施。具体参考:https://www.npmrc.cn/quick-start/about-npm.html。
docker部署nextcloud+onlyoffice详细教程【外置MySQL】
MYF_12的博客
07-27 4038
docker部署nextcloud+onlyoffice
NodeJS代码审计中常见的漏洞(一)
武天旭的博客
01-03 2057
经过漫长时间的迭代更新,内容从一开始的碎片化罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题: 编号 漏洞 1 JavaScript劫持 2 动态解析代码 3 HTTP响应截断 4 SQL注入 5 命令注入
文件上传漏洞绕过及代码审计
11-04
<img src="https://img-bss.csdn.net/202004280957177778.jpg" alt="" />
如何在 Windows 上 使用 ONLYOFFICE 协作编辑文档
热门推荐
hotqin888的专栏
02-19 15万+
1、说明——可以加我qq504284沟通。 ONLYOFFICE Document Server提供文档协作的服务功能,支持Word,Excel和PowerPoint以及国产WPS的协作。但是这里告诉我们,需要进行文档管理和存储的二次开发。它api里现成的开发好的文档管理平台,有java,node.js,PHP等,可能不具备权限功能吧。 Please note, thatONLYOFFICE.........
地埋式可燃气体监测终端,地下燃气管安全“哨兵”
最新发布
SUNVUA1028的博客
05-10 302
在现代都市的繁华之下,一条条地下燃气管承载着城市的生命与活力,但管老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管卫士,时刻守护燃气管安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联监测领域,自主研发的。
python学习路线从小白到
05-05
从小白到需要经历以下几个阶段: 1. 入门阶段:学习Python基础语法、数据类型、流程控制、函数和模块等内容,可以通过《Python编程从入门到实践》等书籍进行学习。同时也需要了解计算机基础知识如操作系统、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值