畅捷通T+ v17任意文件上传漏洞复现
1.前言
8月29晚上就开始收到通知,让我们来排查一下是否有使用畅捷通的系统,说是疑似0day导致很多用户被植入勒索病毒,一时间风头十足。第二天很多平台都更新的防护策略,本次漏洞是任意文件上传漏洞,如果网站前端存在waf等安全设备,应该是可以被正常拦截的,所以也无需过于担心。
2.漏洞复现
2.1 漏洞信息:
- 适用版本:<=v17.0
- 漏洞类型:任意文件上传
- 漏洞危害:可实现RCE获取主机权限
- 涉及接口:/tplus/SM/SetupAccount/Upload.aspx?preload=1
2.2 漏洞分析
这是一个上传漏洞,所以我们需要构造一个post的上传请求,请求接口即为/tplus/SM/SetupAccount/Upload.aspx?preload=1,不难看出,这是一个上传用户个人头像的接口。
通过源码分析可知:
上传过程中只检测了Content-Type这一个参数,攻击者可以随意构造filename的参数从而 上传任意文件,这就导致了漏洞的产生。
不难看出上传路径为当前目录下的images目录,即为/tplus/SM/SetupAccount/images/目录。
到这里漏洞的产生原因就很清楚了,算是一个比较常见的上传漏洞,接下来就是常规的文件上传了。
2.3 漏洞利用
我们可以构造如下参数的上传包(出于和谐考虑就不贴完整的上传包了):
Content-Type: multipart/form-data; boundary=---------------------------33007515338361897914262830846-----------------------------33007515338361897914262830846
Content-Disposition: form-data; name="File1"; filename="test.html"
Content-Type: image/jpegtest
-----------------------------33007515338361897914262830846--
上传之后,如果对方在漏洞利用范围就会成功返回200
此时我们访问一下/tplus/SM/SetupAccount/images/1.html即可访问对应文件,至此这个漏洞的基本复现就完成了。
3.深度利用
注:非授权测试是违法行为,请大家不要恶意攻击他人的业务系统!
漏洞到复现程度在上文就已经实现了,但是实际测试中如果你想要进一步利用就会出现一些问题。
你会发现aspx的文件并不能正常解析,这是由于根目录下的PrecompiledApp.config 中的updatable值设置成了false。导致后面上传的文件无法进行编译。aspx程序无法正常执行。
当然,遇到这种情况,部分环境是可以尝试asp文件进行getshell的。因为asp文件并非.Net处理。这个就只能看运气了绝大多数环境可能并不支持执行asp文件。
但是这种情况并非无法解决问题,我们可以通过手动编译的方式上传编译后的dll文件来提供aspx文件的运行环境。具体操作在这里就不具体分析了,等风头过了之后再考虑补全一下操作方案。
有想复现的白帽子可以参考
https://www.buaq.net/go-53733.html
4.修复方案
- 官方补丁, https://www.chanjetvip.com/product/goods/goods-detail?id=53aaa40295d458e44f5d3ce5
- WAF拦截,由于这是一个常规的上传漏洞,很多waf都是有默认的拦截能力的,需要的话也可以将/tplus/SM/SetupAccount/Upload.aspx路径进行主动拦截。
畅捷通T+ v17任意文件上传漏洞复现相关推荐
- UEditor .Net版本任意文件上传漏洞复现总结
UEditor .Net版本任意文件上传漏洞复现总结 - 知乎 (zhihu.com) 这个洞有一定年数了,是2018年发现的(从下图的shodan中可以得知,该漏洞已经被大部分黑客SEO利用),最近 ...
- 海康威视iVMS综合安防系统任意文件上传漏洞复现(0day)
0x01 产品简介 海康威视iVMS集中监控应用管理平台,是以安全防范业务应用为导向,以视频图像应用为基础手段,综合视频监控.联网报警.智能分析.运维管理等多种安全防范应用系统,构建的多业务应用综合管 ...
- 用友GRP-U8 U8AppProxy任意文件上传漏洞复现+利用
1.漏洞概述 用友GRP-U8R10行政事业财务管理软件是用友公司专注于电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域专业的财务管理软件.用友 GRP-U8 U8AppProx ...
- 【漏洞复现】海康威视iVMS综合安防系统任意文件上传漏洞复现 (在野0day)
文章目录 前言 声明 一.产品简介 二.漏洞概述 三.影响范围 四.漏洞验证 五.漏洞利用 六.修复建议 前言 海康威视iVMS综合安防系统存在任意文件上传漏洞 ,攻击者可通过构造特定Payload实 ...
- UEditor .Net版本任意文件上传漏洞复现
目录 漏洞背景 漏洞影响 漏洞利用 漏洞分析 防御措施 漏洞背景 UEditor是由百度WEB前端研发部开发的所见即所得的开源富文本编辑器 漏洞影响 该漏洞影响UEditor的.N ...
- CVE-2022-29464 WSO2 任意文件上传漏洞复现
目录 0x01 声明: 0x02 简介: 0x03 漏洞概述: 0x04 影响版本: 0x05 环境搭建: vulfocus搭建: 0x06 漏洞复现: 1.EXP利用: 2.Burp改包: 0x07 ...
- 海康威视iVMS综合安防系统任意文件上传漏洞复现 (0day)
前言 此文章仅用于技术交流,严禁用于对外发起恶意攻击!!! 一.漏洞描述 海康威视iVMS系统存在在野 0day 漏洞,攻击者通过获取密钥任意构造token,请求/resourceOperations ...
- 漏洞复现 用友畅捷通T+任意文件上传漏洞(CNVD-2022-60632)
文章目录 漏洞复现 用友畅捷通T+任意文件上传漏洞(CNVD-2022-60632) 1. 用友畅捷通T+简介 2.漏洞描述 3.影响版本 4.fofa 查询语句 5.漏洞复现 6.POC&E ...
- php上传漏洞绕过gd库,jQuery File Upload任意文件上传漏洞
事件背景 jQuery是一个快速.简洁的JavaScript框架,是继Prototype之后又一个JavaScript代码库(或JavaScript框架).jQuery File Upload一个jQ ...
最新文章
- 用数据挖掘来支持音乐创作
- html5前端裁剪图片,FocusPoint.js 实现图片的响应式裁剪
- Linux 访问文件的acl信息,linux文件权限管理与ACL访问控制列表
- 赋能‘元宇宙’,这些企业强势破圈 | 2021AI 最佳成长榜
- rpm -e --nodeps_Linux系统rpm方式管理软件
- AI人才有多贵?年薪三五十万美元起步,高校教授大量投身工业界
- 拓端tecdat|matlab脉冲响应图的时域特征
- 宝塔面板权限不足问题解决
- Steamwoks上传游戏及提交审核指南
- python抓取网页图片教程_Python实现简单网页图片抓取完整代码实例
- Internet Explorer之后的前端开发
- proxy 状态代码503_HTTP状态503错误代码及其解决方法?
- IP解析成地址 确定省市
- UIImageView裁剪成圆形的方法
- Oracle语句函数
- jfinal中json字符串转对象类
- HTML制作一个介绍自己家乡的网站——贵阳,排版整洁,内容丰富,主题鲜明
- nvm安装,nvm的使用,nvm常用命令,nvm安装node报错,nvm切换不了,等系列集合
- StatsD与Graphite联合作战
- 飞天诚信(ROCKEY 4)加密狗的特点介绍。
热门文章
- Facebook 如何存储150亿张、1.5PB的照片
- php获取本机内网ip地址
- 基于微信小程序评选投票系统 投票小程序毕业设计 毕业论文 开题报告和效果图
- 【Linux】Linux运维命令汇总单词表
- 李迟2022年5月工作生活总结
- UserWarning: Glyph 20809 (\N{CJK UNIFIED IDEOGRAPH-5149}) missing from current font解决方法
- 酷客scrm发布:陌生人扫码进群原来是这么回事
- Java spring boot 实现支付宝支付
- python正则爬取微信阅读总榜单写入csv
- 最短路问题 Dijkstra标号法