国内企业漏洞披露(二)(附简要分析)
2021-03-12 16:12:06 Author: www.4hou.com(查看原文) 阅读量:244 收藏

齐治堡垒机前台远程命令执行漏洞

漏洞公告:

image.png

源代码分析:

问题出现在 ha_request.php 文件,第 37 行的 exec 函数,$url 为用户可控的变量,可见

第 33 和 34 行。目光来到第 23 和 24 行,只要 node_request 函数的返回值为“OK”,即可跳过 fatal 函数(此函数为自定义函数,作用类似 PHP 内置的 exit 函数),继续往下执行。

Node_request 函数的定义在 include/common.php 文件中,见下图 2。按照其原本的逻

辑,其作用是请求$url,并返回其内容。根据代码逻辑,

image.png

所以$url 变量值类似于

image.png

这样的字符串。

但是$req_ipaddr 和$req_node_id 均来自用户输入。因此,假设 10.20.10.11 为黑客可控

的服务器,listener/cluster_manage.php 文件的内容为“

node_request 函数返回“OK”,从而跳过 fatal 函数,继续往下执行来到 exec 函数。

回到 exec 函数,此时该函数的第一个参数是这样的,

image.png

所以我们的 payload只能放在$req_node_id 变量中。

见下图3,$req_ipaddr和$req_node_id其实来自于$_REQUEST[‘ipaddr’]和

$_REQUEST[node_id’],并做了全局过滤,删除掉一些危险字符。

image.png

image.png

image.png

金蝶协同办公系统 GETSHELL漏洞 

详细说明:

金蝶OA系统在web.xml中配置了一个servlet Connector,是基于旧版本的fckeditor,存在任意文件上传漏洞,配置如下:

image.png

com.fredck.FCKeditor.connector.ConnectorServlet.class反编译出主要代码如下:

image.png

当Command参数为FileUpload时进行上传,最终服务器上生成的pathToSave文件名,由上传文件路径获得:

image.png

可以看到整个过程是没有过滤后缀的。 直接本地构造一个上传页面即可上传:

image.png

得到webshell如下: http://202.104.120.18:7890/oa/uploadfiles/File/testabc.jsp 金蝶官方协同办公系统测试地址:

image.png

通达OA任意用户登陆拿到管理员的cookie

通达OA任意用户登陆条件需要管理员在线

http://192.168.1.22/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0

访问路径,覆盖了session直接用cookie登陆,访问目录/ general /进入后台

image.png

这里已经登陆了。打开无痕模式

image.png

如果他什么都没有返回,说明是OK的。那么就利用当前的phpsessid进行访问

image.png

如果出现RELOGIN那说明。管理员不在线突破形成的过程

image.png

这里查询了UID是否在线。CLIENT默认为0这个0代表浏览器

image.png

这个表存的是当前用户的登陆信息。UID和时间。sid是phpssion的值。然后client是客户端标识符。

获取安装目录读取redis配置文件

/general/approve_center/archive/getTableStruc.php

image.png

首先是任意文件读取

/ispirit/im/photo.php?AVATAR_FILE=D:/MYOA/bin/redis.windows.conf&UID=2

读取到redis密码。然后通过ssrf

/pda/workflow/img_download.php?PLATFORM=dd&ATTACHMENTS=gopher://127.0.0.1:6399/

这三个漏洞都是在2020HW期间发现的,影响范围很大,企业应该及时发现并且修补这类漏洞。

内容选自:

https://mp.weixin.qq.com/s/oBayKAh9Ctd_AenN3FRVog

https://www.seebug.org/vuldb/ssvid-93826

https://mp.weixin.qq.com/s/LJRI04VViL4hbt6dbmGHAw

如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/NXpm
如有侵权请联系:admin#unsafe.sh