[代码审计]宏*HCM最新文件上传漏洞分析复现

最新推荐文章于 2025-05-20 15:27:15 发布
最新推荐文章于 2025-05-20 15:27:15 发布
阅读量887 收藏 19
点赞数 16
CC 4.0 BY-SA版权
文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LiangYueSec/article/details/143786425

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本博客所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

路由分析

首先看文件上传的url:/sys/cms/uploadLogo.do?b_upload=upload&isClose=2&type=1

查看配置文件,发现是 struts,但并未 struts.xml 路由配置。后在 web.xml 中发现 .do 请求的处理,发现是 struts1。

MainServlet 会将请求转发到相应的 action,查看 struts-config.xml 配置。

配置解析如下:path="/sys/cms/uploadLogo": 指定了请求路径,当用户访问 /sys/cms/uploadLogo.do 时,会由该 <action> 配置处理。

  • type="com.hrms.struts.action.FrameAction": 设置处理请求的 Action 类,这里是 com.hrms.struts.action.FrameAction,当请求路径匹配时,会实例化并调用该类。

  • name="channelForm": 设定表单名称(channelForm),这会和一个定义好的 ActionForm 关联,用于处理提交的数据。

  • scope="session": 设置表单数据的作用范围为 session,表示表单数据会存储在用户的会话中,在多个请求间共享。

  • validate="true": 启用表单验证,在请求到达 FrameAction 之前会先验证 channelForm 表单数据的合法性。

  • input="system.cms.select_upload_file": 当表单验证失败时,页面会重定向到 system.cms.select_upload_file,用于显示错误信息并让用户重新输入。

  • <set-property> 元素: 为 FrameAction 设置特定属性:

    • requireLogon: 表示该请求需要用户登录。

    • requireSession: 表示该请求需要会话。

    • canSwitch: 允许切换用户(可能适用于角色切换或多账户场景)。

    • <forward> 元素: 定义了不同的处理结果转发页面。

  • br_query 和 b_upload:都指向 system.cms.select_upload_file,即执行成功后转发的页面。可以根据不同情况在 FrameAction 中返回相应的 String 结果来指定转发路径。

FrameAction 类会通过 myexecuteIt 方法来处理这个请求。

上面循环中处理请求参数,然后执行相应操作。当 b_upload 被触发时,FrameAction 会实例化一个 FrameCmd 对象,并调用 execute() 方法。

FrameCmd 类的 execute() 方法会将 TransInfoView 对象传递给 MsgRouter 类。

在 MsgRouter 类的 execute 方法中会从 TransInfoView 中提取 requestId 或 workFlowId。

如果 workFlowId 不为空,MsgRouter 将其作为 funcid 使用。

否则,MsgRouter 会调用 B() 方法,从 MRMapping.xml 文件中根据 requestId 查找对应的 funcid。

再根据对应的 funcid 从 WFMapping.xml 配置文件中查找对应的映射。

上传分析

根据上面的 struts 配置,发现该路径需要登录才能访问。所以首先是通过访问 /module/system/qrcard/mobilewrite/qrcardmain.jsp 获取后台权限 cookie。

根据上面路由分析,最终在 com.hjsj.hrms.transaction.sys.cms.UploadLogoTrans 类中处理上传。

只要 logofile、twoFile、oneFile 中任意一个不为空就会进入 uploadFile 上传,问题就是这里需要传入 SafeCode.encode 后的 path。

这个 path 就可以从上面分析 struts-config.xml 配置中执行 b_upload 或者 br_query 成功后指向的 system.cms.select_upload_file 获取,其中就会输出加密后的真实路径。

所以只要先随便进行一次 b_upload 或者 br_query 操作,返回得到加密 path 后再拼接上传即可。

漏洞复现

关注微信公众号后台回复"20241115"获取。

获取Cookie:

获取加密路径:

文件上传:

LiangYueSec
关注
漏洞复现宏景ehr-hcm-loadhistroyorgtree-sql注入
知黑而守白
01-09 587
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 loadhistroyorgtree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景ehr-hcm-view-sql注入
知黑而守白
01-09 666
宏景eHR人力资源管理软件面向复杂单组织或多组织客户,支持流程,B/S架构。特别适合集团化管理和跨地域使用的产品,融合了最新的互联网技术和先进的人力资源管理理念和实践,更好地支持异地办公和网上流程,加强了人力资源业务的集中管理和协同,支持集团管控、目标管理、领导决策等应用。该漏洞具体涉及到View功能,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景HCM人力资源信息管理系统——LoadOtherTreeServlet——SQL注入
LongL_GuYu的博客
07-13 1051
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。其`LoadOtherTreeServlet`接口处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
漏洞复现宏景HCM-LoadOtherTreeServlet SQL注入
weixin_54799594的博客
07-11 1575
漏洞复现过程记录
宏景eHR人力资源管理系统接口searchCreatPlanList存在SQL注入
最新发布
swordheart的博客
05-20 207
宏景eHR searchCreatPlanList.do接口处存在sql注入,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该问题利用难度低,建议尽快修复。
漏洞复现宏景人力资源信息管理系统 showmediainfo SQL注入漏洞
https://blog.echo234.cn/
04-04 1684
宏景科技是一家在智慧城市综合服务领域具有显著影响力的企业。公司以数字赋能百业兴旺,以智慧定义城市未来,致力于让城市管理更简单,让市民工作、生活更便捷。作为行业的佼佼者,宏景科技不断跟进物联网、大数据、云计算、GIS、人工智能等新技术的最新发展及应用,积极掌握并实现核心技术的更新迭代,积累了一定的技术储备。
复现宏景HCM 任意文件读取漏洞_63
fushuang333的博客
03-03 1458
复现宏景HCM 任意文件读取漏洞,通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容。
漏洞复现-宏景HJSOFT系列
aming小老弟
03-15 1677
宏景HCM--------------------------------------------fofa:app=“HJSOFT-HCM
漏洞复现宏景HCM人力资源信息管理系统——openFile-文件读取
LongL_GuYu的博客
06-29 1274
宏景HCM人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,其`openFile接口`存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
漏洞复现宏景ehr-hcm-codesettree-sql注入
知黑而守白
03-11 300
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 codesettree 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景HCM-SQL注入-downlawbase
知黑而守白
04-10 521
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 showmediainfo 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景-HCM-report_org_collect_tree-sql注入
知黑而守白
03-21 232
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。浙大恩特客户资源管理系统 report_org_collect_tree 接口存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景ehr-hcm-downlawbase-sql注入
知黑而守白
03-12 189
宏景HCM系统是一款由宏景软件研发的系统,主要功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备了报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。该漏洞存在于宏景EHR人力资源管理系统的 downlawbase 接口处,该功能存在SQL注入漏洞。攻击者可以通过构造恶意的SQL语句,成功注入并执行恶意数据库操作,可能导致敏感信息泄露、数据库被篡改或其他严重后果。
漏洞复现宏景人力资源信息管理系统 DisplayExcelCustomReport 任意文件读取漏洞
https://blog.echo234.cn/
04-04 1204
宏景人力资源信息管理系统是一款全面覆盖人力资源管理各模块的软件,旨在帮助企事业单位构建高绩效组织,推动组织健康成长,提升组织软实力。系统功能包括人员、组织机构、档案、合同、薪资、保险、绩效、考勤、招聘、培训、干部任免和人事流程等业务的管理,以及人事、绩效、培训、招聘、考勤等业务自助,还具备报表功能和灵活的表格工具,支持集团管控、目标管理、领导决策等应用。宏景人力资源信息管理系统DisplayExcelCustomReport存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息。
宏景eHR 任意文件上传漏洞
holyxp的博客
07-25 1624
宏景eHR人力资源管理软件是一款人力资源管理与数字化应用相融合,满足动态化、协同化、流程化、战略化需求的软件。宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
XXE漏洞原理+复现
test\\的博客
03-23 1553
XXE -“xml external entity injection"既”xml外部实体注入漏洞”。攻击者通过向服务器注入指定的xml实体内容,使服务器按照指定的配置进行执行,也就是说服务端接收和解析了来自用户端的xml数据,没有做严格的安全控制,从而导致xml外部实体注入。 DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申...
宏景HCM uploadLogo.do接口存在任意文件上传漏洞
一个努力学习网安的小牛马
11-21 980
宏景HCM是一款基于先进的人力资本管理体系和灵活开放的技术架构的企业管理系统,提供了强大的业务模型定义、权限管理、工作流平台、预警平台等个性化配置工具。该uoloadLogo.do接口处存在任意文件上传漏洞。本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任。访问`http://ip/1.jsp。先进行cookie的获取。
宏景eHR 任意文件上传漏洞复现(0day)
0xSec
07-24 5353
宏景eHR OfficeServer.jsp接口处存在任意文件上传漏洞,未经过身份认证的远程攻击者可利用此漏洞上传任意文件,最终可导致服务器失陷。
宏景eHR SQL注入漏洞复现(CNVD-2023-08743)
0xSec
05-30 5353
宏景eHR 存在SQL注入漏洞,未经过身份认证的远程攻击者可利用此漏洞执行任意SQL指令,从而窃取数据库敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值